| |
| |||||||
Log-Analyse und Auswertung: SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IEWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.12.2008, 23:54
| #1 |
| |  SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE Hallo, während dem Surfen im Internet hat mein AVG Virenscanner plötzlich den Trojaner "SHeur2.FJD" entdeckt und konnte ihn nicht automatisch entfernen. Anschließend wurde probiert, in regelmäßigen Abständen Werbe-Webseiten aufzurufen (zu dem Zeitpunkt war ich dann bereits offline). Zusätzlich sind mehrere Fehlermeldungen mit unsinnigem Text erschienen, die von Prozessen geöffnet wurden, die laut Google nichts auf meinem Computer zu tun haben sollten. Ein vollständiger Scan mit AVG hat den Trojaner "SHeur2.FJD" in folgender Datei gefunden und die Datei anschließend gelöscht: Code:
ATTFilter C:\Dokumente und Einstellungen\***\Lokale Einstellungen\TEMP\prun.tmp
Es wäre super, wenn mir jemand sagen könnte, ob mein Rechner wieder clean ist! Vielen Dank für die Hilfe & dieses fantastische Forum!  Code:
ATTFilter Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 3
12.12.2008 22:21:13
mbam-log-2008-12-12 (22-21-02).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 164610
Laufzeit: 29 minute(s), 51 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\WINDOWS\system32\jkkIBSmk.dll (Trojan.Vundo.H) -> No action taken.
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkkibsmk (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> No action taken.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\jkkIBSmk.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\cbXOIbBu.dll (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\TEMP\winvsnet.tmp (Rogue.Installer) -> No action taken.
Code:
ATTFilter ComboFix 08-12-12.01 - *** 2008-12-12 23:17:04.1 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1780 [GMT 1:00]
ausgeführt von:: d:\desktop\virus\ComboFix.exe
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\***\Anwendungsdaten\inst.exe
c:\windows\IE4 Error Log.txt
c:\windows\system32\ddcDuSMG.dll
c:\windows\Tasks\nffxwdbz.job
.
((((((((((((((((((((((( Dateien erstellt von 2008-11-12 bis 2008-12-12 ))))))))))))))))))))))))))))))
.
2008-12-12 21:43 . 2008-12-12 21:43 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-12 21:43 . 2008-12-12 21:43 <DIR> d-------- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2008-12-12 21:43 . 2008-12-12 21:43 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-12 21:43 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-12 21:43 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-10 15:44 . 2008-12-10 15:44 410,984 --a------ c:\windows\system32\deploytk.dll
2008-11-18 00:09 . 2008-11-18 00:08 33,846 --a------ c:\windows\system32\SpoonUninstall-dBpoweramp Monkeys Audio Codec.bmp
2008-11-18 00:09 . 2008-11-18 00:09 3,103 --a------ c:\windows\system32\SpoonUninstall-dBpoweramp Monkeys Audio Codec.dat
2008-11-12 11:30 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-12 11:29 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-12 22:21 --------- d-----w c:\programme\Mozilla Thunderbird
2008-12-12 22:09 --------- d-----w c:\programme\foobar2000
2008-12-12 21:07 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2008-12-12 20:07 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2008-12-12 19:27 --------- d-----w c:\programme\eMule
2008-12-10 14:44 --------- d-----w c:\programme\Java
2008-12-04 23:21 --------- d-----w c:\programme\MediaCoder
2008-12-04 22:04 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\gtk-2.0
2008-12-04 22:02 --------- d-----w c:\programme\Avidemux 2.4
2008-11-29 03:21 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla
2008-11-25 12:15 99,216 ----a-w c:\windows\system32\drivers\cmdguard.sys
2008-11-25 12:15 31,504 ----a-w c:\windows\system32\drivers\cmdhlp.sys
2008-11-20 02:46 --------- d-----w c:\programme\Skype
2008-11-12 14:03 --------- d-----w c:\programme\DivX
2008-11-08 16:40 --------- d-----w c:\programme\Notepad++
2008-10-24 13:23 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\BOM
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 23:14 --------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\avidemux
2008-10-22 23:07 --------- d-----w c:\programme\123 AVI to GIF Converter
2008-10-22 22:05 --------- d-----w c:\programme\Biet-O-Matic
2008-10-19 21:16 --------- d-----w c:\programme\MKVtoolnix
2008-10-18 00:04 --------- d-----w c:\programme\uTorrent
2008-10-14 13:35 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ATI
2008-10-14 13:30 --------- d-----w c:\programme\ATI Technologies
2008-09-11 10:38 47,360 ----a-w c:\dokumente und einstellungen\***\Anwendungsdaten\pcouffin.sys
2008-04-15 07:58 8,390 ----a-w c:\programme\Gemeinsame Dateien\IssProcLanguage.ini
2008-04-15 07:58 188,918 ----a-w c:\programme\Gemeinsame Dateien\IssProc.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MiriServAutoStart"="c:\programme\MiriServer\MiriServer.exe" [2005-08-08 1652224]
"Google Update"="c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2008-09-03 133104]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-11-07 21633320]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"COMODO Firewall Pro"="c:\programme\COMODO\Firewall\cfp.exe" [2008-11-25 1796856]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]
"zBrowser Launcher"="c:\programme\Logitech\iTouch\iTouch.exe" [2004-03-18 892928]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
"Adobe_ID0EYTHM"="c:\progra~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-10 136600]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2008-04-20 136472]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TrueImageMonitor.exe"="c:\programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2008-04-21 2622296]
"AcronisTimounterMonitor"="c:\programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2008-04-21 911168]
"WinVNC"="c:\programme\TightVNC\WinVNC.exe" [2007-05-07 589824]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"Thunderbird"="c:\programme\Mozilla Thunderbird\thunderbird.exe" [2008-11-20 8502888]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\***\Startmen\Programme\Autostart\
foobar2000.lnk - c:\programme\foobar2000\foobar2000.exe [2008-11-19 1252352]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-06-02 295606]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 00000000
"NoSMMyDocs"= 01000000
"NoSMMyPictures"= 01000000
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\RpcAgentSrv.exe"=
"c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009\\WNt500x86\\RpcSandraSrv.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-05-26 97928]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys [2008-05-26 99216]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys [2008-05-26 31504]
R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [2005-12-18 141184]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2008-05-26 231704]
S3 RTCore32;RTCore32;\??\c:\programme\RightMark Memory Analyzer\RTCore32.sys []
S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009\RpcAgentSrv.exe [2008-10-01 98488]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4bacc890-449a-11dd-9ed8-001d922fc53d}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - system.exe
\Shell\Open\command - system.exe
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
2008-12-12 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2008-09-03 13:40]
2008-12-11 c:\windows\Tasks\NSSstub.job
- c:\windows\system32\Adobe\Shockwave 11\nssstub.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
HKLM-Run-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://tw.msi.com.tw/autobios/VerChk/LSeries.asp?MSIOCXVersion=3.90&WorkFunction=LMonitor
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O16 -: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
c:\windows\Downloaded Program Files\MSIWDev.inf
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\pp59o7kq.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.2.131.27\npGoogleOneClick6.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeploytk.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npjp2.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeploytk.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-12 23:21:21
Windows 5.1.2600 Service Pack 3 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(960)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'lsass.exe'(1016)
c:\windows\system32\relog_ap.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\COMODO\Firewall\cmdagent.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\programme\NetLimiter 2 Pro\nlsvc.exe
c:\windows\system32\oodag.exe
c:\programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
c:\programme\NetLimiter 2 Pro\NLClient.exe
c:\programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
c:\programme\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\programme\AVG\AVG8\avgrsx.exe
c:\programme\AVG\AVG8\avgrsx.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-12 23:25:07 - PC wurde neu gestartet [***]
ComboFix-quarantined-files.txt 2008-12-12 22:25:03
Vor Suchlauf: 13 Verzeichnis(se), 10.113.404.928 Bytes frei
Nach Suchlauf: 13 Verzeichnis(se), 10,059,972,608 Bytes frei
203 --- E O F --- 2008-12-12 03:01:19
|
| Themen zu SHeur2.FJD Trojaner in prun.tmp + Werbe-Webseiten im IE |
| autorun, avg, bonjour, broken.opencommand, browser, c.exe, c:\windows\system32\rundll32.exe, combofix, components, computer, desktop, einstellungen, error, excel, firefox, google, google update, helper, internet, jusched.exe, konvertieren, laufende prozesse, logon.exe, malwarebytes' anti-malware, mozilla, pdf-datei, prozesse, registrierungsschlüssel, rthdcpl.exe, rundll, scan, shell32.dll, skype.exe, software, suchlauf, super, system, tcp, trojan.downloader, trojaner, virus, windows xp |
Baum-Darstellung