Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Stration Warezov

Stration Warezov


Log-Analyse und Auswertung: Stration Warezov

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 28.01.2009, 01:46   #1
gunbritt
 
Stration Warezov - Standard

Stration Warezov


Hallo,

nach einem Hinweis vom Rechenzentrum und der Installation von Avira hatte dieses bei mir gestern folgendes gefunden:
Code:
ATTFilter
C:\hiberfil.sys
    [WARNING]   The file could not be opened!
C:\pagefile.sys
    [WARNING]   The file could not be opened!
C:\WINDOWS\gdi32.exe
    [DETECTION] Contains recognition pattern of the WORM/Stration.HP worm
    [NOTE]      The file was moved to '49e72d7e.qua'!
C:\WINDOWS\skkkkkkk.exe
    [DETECTION] Is the TR/Dldr.Agent.BJY.2 Trojan
    [NOTE]      The file was moved to '49e92d87.qua'!
C:\WINDOWS\system32\dowmakn.dll
    [WARNING]   The file could not be opened!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SHQ381I7\xndvqh[1].jpg
    [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
    [NOTE]      The file was moved to '49e22db8.qua'!
C:\WINDOWS\system32\ActiveScan\pskavs.dll
    [DETECTION] Contains recognition pattern of the W95/Blumblebee.1738 Windows virus
    [NOTE]      The file was moved to '49e92de4.qua'!
C:\WINDOWS\SoftwareDistribution\WebSetup\wuaueng.cab
    [0] Archive type: CAB (Microsoft)
    --> wuaueng.inf
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\Dokumente und Einstellungen\Gunbritt\Eigene Dateien\ICQ Lite\313268399\Maike_255629819\EvilClient1.2Setup.exe
    [0] Archive type: NSIS
    --> Settings/Evil Client Online Update.exe
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\Dokumente und Einstellungen\Gunbritt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTQ309IR\wuaueng[1].cab
    [0] Archive type: CAB (Microsoft)
    --> wuaueng.inf
      [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\Dokumente und Einstellungen\Gunbritt\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-3f78ff12-41e51355.zip
    [0] Archive type: ZIP
    --> BaaaaBaa.class
      [DETECTION] Is the TR/Java.Downloader.Gen Trojan
    --> VaaaaaaaBaa.class
      [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.FA Java virus
    --> Dvnny.class
      [DETECTION] Contains recognition pattern of the JAVA/Exploit.By.A.2 Java virus
    --> Baaaaa.class
      [DETECTION] Contains recognition pattern of the JAVA/Exploit.By.A.1 Java virus
    --> Dex.class
      [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.GC Java virus
    --> Dix.class
      [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.GD Java virus
    --> Dux.class
      [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.GE Java virus
    [DETECTION] Contains recognition pattern of the JAVA/ClassLoader.FA Java virus
    [NOTE]      The file was moved to '49f2317b.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009341.exe
      [DETECTION] Is the TR/Stration.IM Trojan
    [NOTE]      The file was moved to '49ae326d.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009342.dll
    [DETECTION] Contains recognition pattern of the WORM/Stration.Gen worm
    [NOTE]      The file was moved to '48c48206.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009343.exe
    [DETECTION] Contains recognition pattern of the WORM/Stration.Gen worm
    [NOTE]      The file was moved to '49ae326f.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009344.exe
    [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
    [NOTE]      The file was moved to '49ae326e.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009345.sys
    [DETECTION] Is the TR/Rootkit.Gen Trojan
    [NOTE]      The file was moved to '48c48207.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009346.dll
    [DETECTION] Contains recognition pattern of the WORM/Warezov.MO.1 worm
    [NOTE]      The file was moved to '49ae3260.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009347.exe
    [DETECTION] Contains recognition pattern of the WORM/Warezov.MG.4 worm
    [NOTE]      The file was moved to '48c48218.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009348.dll
    [DETECTION] Contains recognition pattern of the WORM/Stration.BL.3 worm
    [NOTE]      The file was moved to '49ae3271.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009349.EXE
    [DETECTION] Contains recognition pattern of the DR/DelReg.B.1 dropper
    [NOTE]      The file was moved to '48c4821a.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP7\A0009350.exe
    [DETECTION] Contains recognition pattern of the WORM/Stration.HP worm
    [NOTE]      The file was moved to '49ae3273.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP8\A0009486.exe
    [DETECTION] Contains recognition pattern of the WORM/Stration.HP worm
    [NOTE]      The file was moved to '48c4821c.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP8\A0009487.exe
    [DETECTION] Is the TR/Dldr.Agent.BJY.2 Trojan
    [NOTE]      The file was moved to '49ae3275.qua'!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP8\A0009488.dll
    [DETECTION] Contains recognition pattern of the W95/Blumblebee.1738 Windows virus
    [NOTE]      The file was moved to '48c4821e.qua'!
C:\CSS\CS Source\Steam3.dll
    [DETECTION] Is the TR/PSW.Staem.HA Trojan
    [NOTE]      The file was moved to '49e332ff.qua'!


End of the scan: Montag, 26. Januar 2009  23:01
Ich bin jedoch mißtrauisch, hab aber nicht sehr viel Ahnung. Wegen Rootkit denke ich, dass der PC kompromittiert ist oder??

Hier mal der HijackThis Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:35:40, on 28.01.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\System32\E_S00RP1.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbuE0\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [SpySpotter System Defender] C:\Programme\SpySpotter3\Defender.exe -startup
O4 - HKLM\..\Run: [Automatisch EPSON Stylus CX3600 Series auf GLOBEX] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P49 "Automatisch EPSON Stylus CX3600 Series auf GLOBEX" /O17 "\\GLOBEX\Printer4" /M "Stylus CX3600"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [VoipBuster] "C:\programme\voipbuster.com\voipbuster\voipbuster.exe" -nosplash -minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125342659089
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/spsp29953.01noopt/spyspottercabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF8220C-CCFA-416A-9EC6-1680FCE84A2C}: Domain = b19.rwth-aachen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF8220C-CCFA-416A-9EC6-1680FCE84A2C}: NameServer = 134.130.4.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF8220C-CCFA-416A-9EC6-1680FCE84A2C}: Domain = b19.rwth-aachen.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF8220C-CCFA-416A-9EC6-1680FCE84A2C}: NameServer = 134.130.4.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ccfgcscd - C:\WINDOWS\System32\ccfgcscd.dll (file missing)
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: rege2usb - rege2usb.dll (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\System32\E_S00RP1.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 7420 bytes
Ich kann nämlich auch nicht virustotal.com und weitere virenbezogene Seiten öffnen!

Über Hilfe wäre ich sehr dankbar!

Liebe Grüße
Gunbritt

 

Themen zu Stration Warezov
adobe, antivir, antivirus, avg, avira, bho, cisco vpn, content.ie5, defender, defender.exe, einstellungen, explorer, firefox, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, installation, internet, internet explorer, logfile, moved, mozilla, programme, seiten, skype.exe, system, system defender, tr/crypt.cfi.gen, tr/crypt.xpack.ge, tr/crypt.xpack.gen, usb, virustotal.com, windows, windows xp


« Unbekanntest Fenster in der Taskleiste | ständig blue screen und wuauclt.exe verschwindet plötzlich aus Tsk-man. »


Ähnliche Themen: Stration Warezov


  1. W32.Stration@mm - Ich brauch hilfe
    Plagegeister aller Art und deren Bekämpfung - 07.02.2008 (0)
  2. Worm.Stration
    Log-Analyse und Auswertung - 25.01.2008 (3)
  3. MalwareScope.Worm.Warezov.5
    Log-Analyse und Auswertung - 17.11.2007 (1)
  4. W32.Stration@mm icq wurm
    Plagegeister aller Art und deren Bekämpfung - 27.07.2007 (6)
  5. Win32:Warezov-AAS
    Plagegeister aller Art und deren Bekämpfung - 16.06.2007 (2)
  6. W32.Stration
    Plagegeister aller Art und deren Bekämpfung - 02.06.2007 (1)
  7. W32.Stration@mm
    Plagegeister aller Art und deren Bekämpfung - 31.05.2007 (7)
  8. Problem mit Stration.Gen / Stration.Bl3 need help!
    Log-Analyse und Auswertung - 25.02.2007 (1)
  9. hilfe bei W32.stration@mm
    Log-Analyse und Auswertung - 23.02.2007 (6)
  10. Problem mit Warezov.hx
    Plagegeister aller Art und deren Bekämpfung - 18.02.2007 (4)
  11. Worm/Stration
    Plagegeister aller Art und deren Bekämpfung - 12.02.2007 (1)
  12. virus w32.stration.DL@mm
    Plagegeister aller Art und deren Bekämpfung - 31.01.2007 (6)
  13. WORM/Stration.Gen - WORM_STRAT.HZ
    Plagegeister aller Art und deren Bekämpfung - 28.01.2007 (2)
  14. W32.Stration@mm / stration/gen
    Mülltonne - 28.01.2007 (0)
  15. Wurm Stration.Gen
    Plagegeister aller Art und deren Bekämpfung - 29.12.2006 (2)
  16. Warezov.bw
    Plagegeister aller Art und deren Bekämpfung - 31.10.2006 (1)
  17. warezov.Cu.5
    Log-Analyse und Auswertung - 21.10.2006 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Stration Warezov - Hallo, nach einem Hinweis vom Rechenzentrum und der Installation von Avira hatte dieses bei mir gestern folgendes gefunden: Code: Alles auswählen Aufklappen ATTFilter C:\hiberfil.sys [WARNING] The file could not be - Stration Warezov...
Archiv
Du betrachtest: Stration Warezov auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131