Trojaner Vundo

kall9r · 01.12.2008, 17:05

Hi, vor ein paar Tagen schlug plötzlich mein Antivir an, ohne dass ich etwas gemacht oder installiert hatte. Infizierte Dateien hab ich gelöscht, jedoch habe ich damit nicht alles bereinigen können und wollte zunächst versuchen, das Problem ohne Neuaufsetzen zu lösen. Im system32-Ordner von Win befindet sich eine "tuvWpqPI.dll", welche sich nicht löschen lässt und bei diversen Onlinescannern als infiziert eingestuft wurde.

Wie einige andere hier öffnen sich bei mir hin und wieder Werbepopups (als neue Browserfenster) und ich soll mir davon VirusRemover Pro oder Antivir 2009 herunter laden etc.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:59, on 01.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
D:\WINDOOF\System32\smss.exe
D:\WINDOOF\system32\csrss.exe
D:\WINDOOF\system32\winlogon.exe
D:\WINDOOF\system32\services.exe
D:\WINDOOF\system32\lsass.exe
D:\WINDOOF\system32\Ati2evxx.exe
D:\WINDOOF\system32\svchost.exe
D:\WINDOOF\system32\svchost.exe
D:\WINDOOF\System32\svchost.exe
D:\WINDOOF\system32\svchost.exe
D:\WINDOOF\system32\svchost.exe
D:\WINDOOF\system32\Ati2evxx.exe
D:\WINDOOF\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\WINDOOF\System32\PAStiSvc.exe
D:\WINDOOF\system32\svchost.exe
D:\WINDOOF\System32\alg.exe
D:\WINDOOF\system32\wscntfy.exe
D:\WINDOOF\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOOF\RTHDCPL.EXE
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\programme\powerstrip\pstrip.exe
D:\programme\steam\steam.exe
D:\Programme\Windows Live\Messenger\MsnMsgr.Exe
D:\WINDOOF\system32\ctfmon.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\FRITZ!DSL\FritzDsl.exe
D:\WINDOOF\System32\svchost.exe
D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOOF\system32\tuvWpqPI.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Mirar - {9EB7217A-A26F-4EC8-BA76-0C15B76A2D0E} - D:\WINDOOF\system32\winol77.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PowerStrip] d:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOOF\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: FRITZ!DSL Internet.lnk = D:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOOF\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOOF\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: , xzkslk.dll
O20 - Winlogon Notify: tuvWpqPI - D:\WINDOOF\SYSTEM32\tuvWpqPI.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOOF\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOOF\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOOF\system32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - D:\WINDOOF\System32\PAStiSvc.exe

--
End of file - 8582 bytes

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1441
Windows 5.1.2600 Service Pack 2

01.12.2008 17:00:45
mbam-log-2008-12-01 (17-00-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 140538
Laufzeit: 51 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 15
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 24

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
D:\WINDOOF\system32\origaqva.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\pmnmkjgf.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\tuvWpqPI.dll (Trojan.Vundo) -> No action taken.
D:\WINDOOF\system32\ttqktiap.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\egrwws.dll (Trojan.Vundo.H) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvwpqpi (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c226ae59-46dc-4ea3-a57d-cf5be25c928e} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c226ae59-46dc-4ea3-a57d-cf5be25c928e} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef442cc1-c0b0-4449-b47e-64a1556853b0} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ef442cc1-c0b0-4449-b47e-64a1556853b0} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\44fc0225 (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: d:\windoof\system32\pmnmkjgf -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: d:\windoof\system32\pmnmkjgf  -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\WINDOOF\system32\tuvWpqPI.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\egrwws.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\pmnmkjgf.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\fgjkmnmp.ini (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\fgjkmnmp.ini2 (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\enavaetx.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\xteavane.ini (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\origaqva.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\avqagiro.ini (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\ttqktiap.dll (Trojan.Vundo.H) -> No action taken.
C:\Download\Chat\- irc -\mIRC\mirc.exe (Backdoor.Bot) -> No action taken.
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan\qbtbwv.dll.q_73BF801_q.old (Trojan.Vundo) -> No action taken.
D:\Dokumente und Einstellungen\Patrick\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AY72EU60\zc113432[1] (Trojan.Vundo.H) -> No action taken.
D:\Dokumente und Einstellungen\Patrick\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TOMJ6BBG\index[1] (Trojan.Vundo.H) -> No action taken.
D:\System Volume Information\_restore{0FD7E4CF-A3C3-465D-9EFC-03FC73A51610}\RP355\A0055230.dll (Trojan.Vundo) -> No action taken.
D:\System Volume Information\_restore{0FD7E4CF-A3C3-465D-9EFC-03FC73A51610}\RP358\A0055462.dll (Trojan.Vundo) -> No action taken.
D:\System Volume Information\_restore{0FD7E4CF-A3C3-465D-9EFC-03FC73A51610}\RP363\A0055512.dll (Trojan.Vundo.H) -> No action taken.
D:\System Volume Information\_restore{0FD7E4CF-A3C3-465D-9EFC-03FC73A51610}\RP364\A0055515.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\ieqohfdk.dll (Trojan.Vundo) -> No action taken.
D:\WINDOOF\system32\mqmfihsw.dll (Trojan.Vundo.H) -> No action taken.
D:\WINDOOF\system32\npgisxsr.dll (Trojan.Vundo) -> No action taken.
D:\WINDOOF\system32\qslozf.dll (Trojan.Vundo) -> No action taken.
D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1doc2pdf.dll (Trojan.Agent) -> No action taken.
D:\WINDOOF\system32\pmnnNdbX.dll (Trojan.Vundo) -> No action taken.

Hat jemand eine Idee?

cosinus · 01.12.2008, 17:11

Hallo und

Acker diese Punkte für weitere Analysen ab. Da Du schon MBAM ausgeführt hast, die Funde von dem löschen lassen.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2.) Führe dieses MBR-Tool aus und poste die Ausgabe

3.) Blacklight ausführen und Logfiles posten

4.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

5.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

6.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

kall9r · 01.12.2008, 17:32

Danke erstmal für die schnelle Antwort. Das MBR-Tool liefert keine Ausgabe, es öffnet sich beim Anwenden lediglich eine Dos-Box, welche sich jedoch sofort wieder schließt.
Blacklight ist gerade durchgelaufen, hat jedoch nichts gefunden.

Des Weiteren habe ich vergessen zu erwähnen, dass seit dem beschriebenen Befall mein Windows-Update (Automatisches Update) nichtmehr aktivierbar ist. Ich habe gegoogelte Lösungswege ausprobiert, jedoch lässt sich der Dienst nicht aktivieren. Wenn ich den Startmodus auf Manuell oder Automatisch stelle und dies übernehme, switcht es sofort wieder zu "Deaktiviert", vermutlich hängt das ebenfalls mit der Schadsoftware zusammen.

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

kall9r · 01.12.2008, 17:37

Danke für die schnelle Antwort. Das MBR-Tool liefert keine Ausgabe, es öffnet sich bloss eine Dos-Box, welche sich aber sofort wieder schießt. Blacklight findet nichts.

Des Weiteren habe ich vergessen zu erwähnen, dass das Automatische Update seit dem Befall nichtmehr funktioniert und sich der zugehörige Dienst auch nicht mehr aktivieren lässt. Gegoogelte Lösungswege blieben erfolglos.

cosinus · 01.12.2008, 17:38

Das MBR-Tool sollte im gleichen Verzeichnis ein Logfile schreiben. Wenn Du das also auf den Desktop gepackt und auch dort ausgeführt hast, wird das Logfile ebenfalls dort sein.

Ansonsten einfach die Liste abackern.

kall9r · 01.12.2008, 17:38

arg sry, beim antworten hing das board bei mir immer plötzlich, bitte doppelpost löschen.

kall9r · 01.12.2008, 18:07

Code:

ATTFilter

ComboFix 08-11-30.02 - Patrick 2008-12-01 17:57:28.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.1518 [GMT 1:00]
ausgeführt von:: d:\dokumente und einstellungen\Patrick\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\windoof\system32\akyeiukj.dll
d:\windoof\system32\DLoVxGgh.ini
d:\windoof\system32\DLoVxGgh.ini2
d:\windoof\system32\MlklStwa.ini
d:\windoof\system32\MlklStwa.ini2
d:\windoof\system32\ogqsaymu.ini
d:\windoof\system32\ryzbto.dll
d:\windoof\system32\sgulqwpi.ini
d:\windoof\system32\uffprgci.ini
d:\windoof\Tasks\jfewuzlw.job

.
(((((((((((((((((((((((   Dateien erstellt von 2008-11-01 bis 2008-12-01  ))))))))))))))))))))))))))))))
.

2008-12-01 17:45 . 2008-12-01 17:45	<DIR>	d--------	d:\programme\CCleaner
2008-12-01 17:23 . 2008-12-01 17:23	<DIR>	d--------	d:\windoof\system32\NtmsData
2008-12-01 16:08 . 2008-12-01 17:00	<DIR>	d--------	d:\programme\Malwarebytes' Anti-Malware
2008-12-01 16:08 . 2008-12-01 16:08	<DIR>	d--------	d:\dokumente und einstellungen\Patrick\Anwendungsdaten\Malwarebytes
2008-12-01 16:08 . 2008-12-01 16:08	<DIR>	d--------	d:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-01 16:08 . 2008-10-22 16:10	38,496	--a------	d:\windoof\system32\drivers\mbamswissarmy.sys
2008-12-01 16:08 . 2008-10-22 16:10	15,504	--a------	d:\windoof\system32\drivers\mbam.sys
2008-12-01 15:19 . 2008-12-01 15:19	<DIR>	d--------	D:\VundoFix Backups
2008-12-01 12:57 . 2008-12-01 12:57	19,530	--a------	D:\kasp3.html
2008-12-01 12:39 . 2008-12-01 12:39	<DIR>	d--------	d:\programme\Security Task Manager
2008-12-01 12:39 . 2008-12-01 14:29	<DIR>	d--------	d:\dokumente und einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-12-01 12:18 . 2008-12-01 12:35	<DIR>	d--------	d:\programme\RegCleaner
2008-12-01 12:01 . 2008-12-01 12:01	77,616	--a------	D:\kasp2.html
2008-12-01 10:24 . 2008-12-01 10:24	23,362	--a------	D:\kasp1.html
2008-11-29 16:42 . 2008-12-01 17:57	<DIR>	d--------	d:\windoof\system32\CatRoot2
2008-11-27 21:44 . 2008-11-21 20:15	401,408	--a------	d:\windoof\system32\winol77.dll
2008-11-27 21:28 . 2008-11-27 21:28	29,184	--a------	d:\windoof\system32\MSINET.oca
2008-11-27 21:28 . 2008-11-27 21:28	2,407	--a------	d:\windoof\system32\MSINET.DEP
2008-11-21 16:36 . 2008-11-21 16:37	<DIR>	d--------	d:\programme\DivX
2008-11-13 12:05 . 2008-10-24 12:25	455,936	---------	d:\windoof\system32\dllcache\mrxsmb.sys
2008-11-13 12:04 . 2008-09-04 17:32	1,106,944	---------	d:\windoof\system32\dllcache\msxml3.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-01 16:14	---------	d-----w	d:\programme\Steam
2008-12-01 11:18	---------	d---a-w	d:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-11-30 20:39	---------	d-----w	d:\dokumente und einstellungen\Patrick\Anwendungsdaten\dvdcss
2008-11-30 20:22	---------	d-----w	d:\dokumente und einstellungen\Patrick\Anwendungsdaten\Xfire
2008-11-30 13:00	420,632	----a-w	d:\windoof\system32\wuapi.dll
2008-11-29 18:50	---------	d-----w	d:\dokumente und einstellungen\Patrick\Anwendungsdaten\ICQ
2008-11-26 23:41	---------	d-----w	d:\dokumente und einstellungen\Patrick\Anwendungsdaten\HLSW
2008-11-10 15:26	---------	d-----w	d:\dokumente und einstellungen\Patrick\Anwendungsdaten\OpenOffice.org2
2008-10-25 12:41	---------	d-----w	d:\programme\HP
2008-10-24 11:25	455,936	----a-w	d:\windoof\system32\drivers\mrxsmb.sys
2008-10-16 13:13	202,776	----a-w	d:\windoof\system32\wuweb.dll
2008-10-16 13:13	1,809,944	----a-w	d:\windoof\system32\wuaueng.dll
2008-10-16 13:12	323,608	----a-w	d:\windoof\system32\wucltui.dll
2008-10-16 13:09	92,696	----a-w	d:\windoof\system32\cdm.dll
2008-10-16 13:09	51,224	----a-w	d:\windoof\system32\wuauclt.exe
2008-10-16 13:09	43,544	----a-w	d:\windoof\system32\wups2.dll
2008-10-16 13:08	34,328	----a-w	d:\windoof\system32\wups.dll
2008-10-16 13:06	268,648	----a-w	d:\windoof\system32\mucltui.dll
2008-10-16 13:06	208,744	----a-w	d:\windoof\system32\muweb.dll
2008-10-15 16:54	339,456	------w	d:\windoof\system32\dllcache\netapi32.dll
2008-10-12 18:39	---------	d-----w	d:\programme\ICQ6
2008-10-12 18:34	---------	d--h--w	d:\programme\InstallShield Installation Information
2008-10-03 16:21	6,068,224	------w	d:\windoof\system32\dllcache\ieframe.dll
2008-09-30 15:43	1,286,152	----a-w	d:\windoof\system32\msxml4.dll
2008-09-19 21:55	200,704	----a-w	d:\windoof\system32\ssldivx.dll
2008-09-19 21:55	1,044,480	----a-w	d:\windoof\system32\libdivx.dll
2008-09-18 00:41	42,320	----a-w	d:\windoof\system32\xfcodec.dll
2008-09-15 15:13	1,847,040	----a-w	d:\windoof\system32\win32k.sys
2008-09-15 15:13	1,847,040	------w	d:\windoof\system32\dllcache\win32k.sys
2008-09-04 16:32	1,106,944	----a-w	d:\windoof\system32\msxml3.dll
2008-01-30 20:22	16,384	--sha-w	d:\windoof\system32\config\systemprofile\Cookies\index.dat
2008-01-30 20:22	32,768	--sha-w	d:\windoof\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-01-30 20:22	32,768	--sha-w	d:\windoof\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2008-01-23 16:50	32,768	--sha-w	d:\windoof\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008012320080124\index.dat
.

------- Sigcheck -------

2008-04-14 03:22  580096  b0050cc5340e3a0760dd8b417ff7aebd	d:\windoof\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\user32.dll
2007-06-18 00:55  579584  78785eff8cb90cec1862a4ccfd9a3c3a	d:\windoof\system32\user32.dll

2008-04-14 03:23  513024  f09a527b422e25c478e38caa0e44417a	d:\windoof\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe
2007-03-17 19:06  508928  10d53e677a6962b964839073e492c84b	d:\windoof\system32\winlogon.exe

2008-08-14 14:36  2065280  8f54d426024bc7e45a6f32253bbb572e	d:\windoof\$hf_mig$\KB956841\SP2QFE\ntkrnlpa.exe
2008-08-14 14:19  2068352  326c258774eb791e78fea8a9e14d5c3e	d:\windoof\$hf_mig$\KB956841\SP3GDR\ntkrnlpa.exe
2008-08-14 18:22  2068352  c789b5aea9ab71c5bef6dd568f744842	d:\windoof\$hf_mig$\KB956841\SP3QFE\ntkrnlpa.exe
2008-08-14 14:42  2060032  3dcd95b15b45de01c44fd4fc1160d504	d:\windoof\Driver Cache\i386\ntkrnlpa.exe
2008-08-14 14:42  2060032  3dcd95b15b45de01c44fd4fc1160d504	d:\windoof\SoftwareDistribution\Download\572d15568eb003a708eff20c25dc6768\SP2GDR\ntkrnlpa.exe
2008-08-14 14:36  2065280  8f54d426024bc7e45a6f32253bbb572e	d:\windoof\SoftwareDistribution\Download\572d15568eb003a708eff20c25dc6768\SP2QFE\ntkrnlpa.exe
2008-08-14 14:19  2068352  326c258774eb791e78fea8a9e14d5c3e	d:\windoof\SoftwareDistribution\Download\572d15568eb003a708eff20c25dc6768\SP3GDR\ntkrnlpa.exe
2008-08-14 18:22  2068352  c789b5aea9ab71c5bef6dd568f744842	d:\windoof\SoftwareDistribution\Download\572d15568eb003a708eff20c25dc6768\SP3QFE\ntkrnlpa.exe
2008-04-14 03:00  2068224  e51980ef65ced4490a7395a06c08da34	d:\windoof\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ntkrnlpa.exe
2007-06-18 01:03  2019840  5aa6fe8b36d7d4074542925c38c142be	d:\windoof\system32\ntkrnlpa.exe
2008-08-14 14:42  2060032  3dcd95b15b45de01c44fd4fc1160d504	d:\windoof\system32\dllcache\ntkrnlpa.exe

2008-08-14 14:36  2188288  c7153f3f41c63c8cb912e973f2780495	d:\windoof\$hf_mig$\KB956841\SP2QFE\ntoskrnl.exe
2008-08-14 14:19  2191488  934fbea25f8de017abfc6169b8446d94	d:\windoof\$hf_mig$\KB956841\SP3GDR\ntoskrnl.exe
2008-08-14 18:22  2191488  59282efe7147c011530e51ff92ba86ac	d:\windoof\$hf_mig$\KB956841\SP3QFE\ntoskrnl.exe
2008-08-14 14:42  2182656  9e34765c5e64d60391abbde38af16257	d:\windoof\Driver Cache\i386\ntoskrnl.exe
2008-08-14 14:42  2182656  9e34765c5e64d60391abbde38af16257	d:\windoof\SoftwareDistribution\Download\572d15568eb003a708eff20c25dc6768\SP2GDR\ntoskrnl.exe
2008-08-14 14:36  2188288  c7153f3f41c63c8cb912e973f2780495	d:\windoof\SoftwareDistribution\Download\572d15568eb003a708eff20c25dc6768\SP2QFE\ntoskrnl.exe
2008-08-14 14:19  2191488  934fbea25f8de017abfc6169b8446d94	d:\windoof\SoftwareDistribution\Download\572d15568eb003a708eff20c25dc6768\SP3GDR\ntoskrnl.exe
2008-08-14 18:22  2191488  59282efe7147c011530e51ff92ba86ac	d:\windoof\SoftwareDistribution\Download\572d15568eb003a708eff20c25dc6768\SP3QFE\ntoskrnl.exe
2008-04-14 03:00  2191360  354c9291513bce4d0ed6b0c6a15470f8	d:\windoof\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ntoskrnl.exe
2007-06-18 00:56  2140160  fd51b755255e963b1e78b010b575fa7c	d:\windoof\system32\ntoskrnl.exe
2008-08-14 14:42  2182656  9e34765c5e64d60391abbde38af16257	d:\windoof\system32\dllcache\ntoskrnl.exe

2007-08-15 07:24  1036288  331ed93570baf3cfe30340298762cd56	d:\windoof\explorer.exe
2008-04-14 03:22  1036800  418045a93cd87a352098ab7dabe1b53e	d:\windoof\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9EB7217A-A26F-4EC8-BA76-0C15B76A2D0E}"= "d:\windoof\system32\winol77.dll" [2008-11-21 401408]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="d:\programme\steam\steam.exe" [2008-11-08 1410296]
"MsnMsgr"="d:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"ctfmon.exe"="d:\windoof\system32\ctfmon.exe" [2004-08-03 15360]
"DAEMON Tools Lite"="d:\programme\DAEMON Tools Lite\daemon.exe" [2008-01-17 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SunJavaUpdateSched"="d:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"StartCCC"="d:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"NeroFilterCheck"="d:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"HP Software Update"="d:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"Adobe Reader Speed Launcher"="d:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"PowerStrip"="d:\programme\powerstrip\pstrip.exe" [2008-07-10 733944]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-09 d:\windoof\RTHDCPL.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 d:\windoof\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windoof\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ShowDeskFix"="shell32" [X]
"nltide_3"="advpack.dll" [2008-08-26 d:\windoof\system32\advpack.dll]
"IE7"="advpack.dll" [2008-08-26 d:\windoof\system32\advpack.dll]

d:\dokumente und einstellungen\Patrick\Startmen\Programme\Autostart\
FRITZ!DSL Internet.lnk - d:\programme\FRITZ!DSL\FritzDsl.exe [2007-09-03 992560]

d:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - d:\windoof\Installer\{2457326B-C110-40C3-89B0-889CC913871A}\Icon2457326B4.exe [2008-03-19 29184]
HP Digital Imaging Monitor.lnk - d:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624]
HP Image Zone Schnellstart.lnk - d:\programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 73728]
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2008-08-17 805392]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 d:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"d:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"d:\\Programme\\Messenger\\msmsgs.exe"=
"d:\\Programme\\Steam\\steamapps\\source1919\\counter-strike source\\hl2.exe"=
"d:\\Programme\\THQ\\Juiced2_HIN\\Juiced2_HIN.exe"=
"d:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"d:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"d:\\Programme\\FRITZ!DSL\\WebwaIgd.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"d:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"d:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"d:\\Programme\\Steam\\steamapps\\urinwegwaschboy\\counter-strike source\\hl2.exe"=
"d:\\Programme\\Xfire\\xfire.exe"=
"d:\\Programme\\HLSW\\hlsw.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\Programme\\Skype\\Phone\\Skype.exe"=
"d:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Programme\\Steam\\steamapps\\urinwegwaschboy\\age of chivalry\\hl2.exe"=

R2 IGDCTRL;AVM IGD CTRL Service;d:\programme\FRITZ!DSL\IGDCTRL.EXE [2007-09-04 87344]
R2 PStrip;PSTRIP;\??\d:\windoof\system32\DRIVERS\PSTRIP.SYS [2007-07-15 27992]
R3 PAC207;VideoCAM GF112;d:\windoof\system32\DRIVERS\pfc027.sys [2005-04-08 162176]

*Newly Created Service* - MBR
*Newly Created Service* - NTMSSVC
*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-AtiPTA - atiptaxx.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - d:\dokumente und einstellungen\Patrick\Anwendungsdaten\Mozilla\Firefox\Profiles\2b4apaoy.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-01 17:58:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(740)
d:\windoof\system32\Ati2evxx.dll
d:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
d:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2008-12-01 17:58:44
ComboFix-quarantined-files.txt  2008-12-01 16:58:36

Vor Suchlauf: 12 Verzeichnis(se), 66.340.507.648 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 66,325,807,104 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(1)partition(1)\WINDOOF
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(1)partition(1)\WINDOOF="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

227	--- E O F ---	2008-11-27 03:36:52

http://www.file-upload.net/download-1288817/listing.txt.html

neues HiJack-Log mit der umbenannten Datei

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:10, on 01.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20900)
Boot mode: Normal

Running processes:
D:\WINDOOF\System32\smss.exe
D:\WINDOOF\system32\winlogon.exe
D:\WINDOOF\system32\services.exe
D:\WINDOOF\system32\lsass.exe
D:\WINDOOF\system32\Ati2evxx.exe
D:\WINDOOF\system32\svchost.exe
D:\WINDOOF\System32\svchost.exe
D:\WINDOOF\system32\Ati2evxx.exe
D:\WINDOOF\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\WINDOOF\System32\PAStiSvc.exe
D:\WINDOOF\system32\svchost.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Java\jre1.6.0_07\bin\jusched.exe
D:\WINDOOF\RTHDCPL.EXE
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\programme\powerstrip\pstrip.exe
D:\programme\steam\steam.exe
D:\WINDOOF\system32\ctfmon.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
D:\WINDOOF\System32\svchost.exe
D:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Programme\Windows Live\Messenger\usnsvc.exe
D:\WINDOOF\explorer.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOOF\system32\NOTEPAD.EXE
C:\Download\Antivirus\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: Mirar - {9EB7217A-A26F-4EC8-BA76-0C15B76A2D0E} - D:\WINDOOF\system32\winol77.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PowerStrip] d:\programme\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOOF\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOOF\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: FRITZ!DSL Internet.lnk = D:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - D:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOOF\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOOF\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOOF\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOOF\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - D:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOOF\system32\HPZipm12.exe
O23 - Service: STI Simulator - Unknown owner - D:\WINDOOF\System32\PAStiSvc.exe

--
End of file - 7351 bytes

War hoffentlich alles..

kall9r · 01.12.2008, 18:36

So, bis jetzt kamen keine Popups mehr und offenbar hat das Combofix ordentlich was gebracht.

Vielen Dank erstmal!!!

Jedoch lässt sich der Dienst "Automatisches Update" weiterhin nicht starten. Der Startmodus lässt sich nun verstellen, jedoch erhalte ich folgenden Fehler wenn ich es manuell starten will:

Der Dienst "Automatisches Update" auf "Lokaler Computer" konnte nicht gestartet werden.

Fehler 1058: Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.

cosinus · 04.12.2008, 20:19

Hallo

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

d:\windoof\system32\winol77.dll
D:\WINDOOF\system32\rsaci.rat

Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

ATTFilter

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9EB7217A-A26F-4EC8-BA76-0C15B76A2D0E}"=-

Collect::
d:\windoof\system32\winol77.dll
D:\WINDOOF\system32\rsaci.rat
D:\WINDOOF\Tasks\SA.DAT

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

01.12.2008, 17:38	#5
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner Vundo Das MBR-Tool sollte im gleichen Verzeichnis ein Logfile schreiben. Wenn Du das also auf den Desktop gepackt und auch dort ausgeführt hast, wird das Logfile ebenfalls dort sein. Ansonsten einfach die Liste abackern. __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner Vundo

Log-Analyse und Auswertung: Trojaner Vundo

Trojaner Vundo

Trojaner Vundo

Trojaner Vundo

Trojaner Vundo

Trojaner Vundo

Trojaner Vundo

Trojaner Vundo

Trojaner Vundo

Trojaner Vundo

Ähnliche Themen: Trojaner Vundo

01.12.2008, 17:38	#6
kall9r	Trojaner Vundo arg sry, beim antworten hing das board bei mir immer plötzlich, bitte doppelpost löschen.