Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
immer noch sdfadf.df Files nach conficker.L Angriff

immer noch sdfadf.df Files nach conficker.L Angriff


Plagegeister aller Art und deren Bekämpfung: immer noch sdfadf.df Files nach conficker.L Angriff

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 26.10.2009, 15:50   #1
dubidu
 
immer noch sdfadf.df Files nach conficker.L Angriff - Standard

immer noch sdfadf.df Files nach conficker.L Angriff


Ich habe einen DNS Server (Win2k server) in einer NT Domäne. Dieser wurde von Conficker befallen und mittels verschiedener Tools versucht zu bereinigen.
Danach wurde der DNS-Server neu installiert, mit allen Windows Updates und AVG versehen und wieder in die Domäne gehoben. Nach kurzer Zeit hat AVG eine Datei mit Conficker Muster im system32 angezeigt und diese war auch mit svchost verlinkt.
habe jetzt ma hijack this laufen lassen, kann aber nicht wirklich was rauslesen aus dem log:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:09, on 26.10.2009
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\sfmsvc.exe
C:\WINNT\System32\sfmprint.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\AVG\AVG8\avgrsx.exe
C:\WINNT\System32\wins.exe
C:\WINNT\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINNT\system32\internat.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256550420826
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256552308526
O17 - HKLM\System\CCS\Services\Tcpip\..\{C21E9EEC-C8FD-48D9-BC25-F1F832BC2BFE}: NameServer = 192.168.3.227
O20 - Winlogon Notify: avgrsstarter - C:\WINNT\SYSTEM32\avgrsstx.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

--
End of file - 2767 bytes
danach hab ich noch den GMER durchlaufen lassen, in der hoffnung mehr zu erkennen:
Zitat:
GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-26 15:14:28
Windows 5.0.2195 Service Pack 4
Running: gvxcqcxl.exe; Driver: C:\DOKUME~1\ADMINI~1.DOM\LOKALE~1\Temp\aftdipob.sys


---- User code sections - GMER 1.0.15 ----

.text C:\WINNT\System32\svchost.exe[540] ntdll.dll!NtQueryInformationProcess 778888CC 5 Bytes JMP 079D9DD2
.text C:\WINNT\System32\svchost.exe[540] NETAPI32.dll!NetpwPathCanonicalize 7CE2F85D 5 Bytes JMP 079D9D72

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs Dfs.sys (Windows NT Distributed File System Driver/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \FileSystem\Fastfat \Fat Dfs.sys (Windows NT Distributed File System Driver/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\WINNT\system32\svchost.exe (*** hidden *** ) [AUTO] nxgeitsws <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@DisplayName Center Update
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws@Description F?hrt eine aktuelle Liste der Computer im Netzwerk und gibt diese an Programme weiter.
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\nxgeitsws\Parameters@ServiceDll C:\WINNT\system32\eifuwte.dll

---- EOF - GMER 1.0.15 ----

Trotz löschen des Files und des Reg Schlüssels taucht das File immer wieder auf...

 

Themen zu immer noch sdfadf.df Files nach conficker.L Angriff
1.exe, avg, computer, conficker, dns-server, e-mail, explorer, hijack, hijack this, hijackthis, internet, internet explorer, log, logfile, löschen, netzwerk, ntdll.dll, object, programme, registry, server, software, svchost, system, temp, udp, updates, windows, windows updates


« 2x TR/dropper.gen | Hilfe Kaylogger / key Spoof »


Ähnliche Themen: immer noch sdfadf.df Files nach conficker.L Angriff


  1. Immer noch ein Trojaner nach Neuinstalltion?
    Plagegeister aller Art und deren Bekämpfung - 05.08.2015 (12)
  2. Pc nach neuen Aufsetzen noch immer langsamer
    Plagegeister aller Art und deren Bekämpfung - 01.07.2015 (59)
  3. Windows 7 , PC stürzt immer wieder ab, nach säuberung mit Vipre immer noch viele verdächtig Datein im Autorun
    Log-Analyse und Auswertung - 15.01.2014 (12)
  4. Win 7: Nach Adwcleaner noch immer neue Adware
    Log-Analyse und Auswertung - 21.11.2013 (7)
  5. Außergewöhnlicher Virus, der nach Neuinstallation immer noch da ist!
    Log-Analyse und Auswertung - 12.09.2012 (3)
  6. Log Files nach Entfernen von Live Security Platinum - Was muss ich nun noch tun?
    Log-Analyse und Auswertung - 27.07.2012 (9)
  7. Nach Systemwiederherstellung (Win 7) immer noch Malewarebefall?
    Log-Analyse und Auswertung - 07.03.2012 (5)
  8. Computer nach Neuistallation immer noch sau lahm
    Plagegeister aller Art und deren Bekämpfung - 28.11.2011 (3)
  9. Nach Formatierung immer noch Viren
    Log-Analyse und Auswertung - 27.01.2011 (8)
  10. nach formatierung immer noch probleme mit pc
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (13)
  11. Antimalware Doctor Angriff nach Rkill, Mbam Scan, CCleaber immer noch vorhanden!
    Plagegeister aller Art und deren Bekämpfung - 18.05.2010 (26)
  12. Virtumonde.sci nach Formatieren immer noch da
    Plagegeister aller Art und deren Bekämpfung - 02.05.2010 (9)
  13. BOO/Sinowal.C nach neuaufsetzten immer noch da
    Log-Analyse und Auswertung - 17.03.2009 (0)
  14. Nach Durchlauf von S&D, immer noch Trojaner am PC
    Mülltonne - 11.11.2008 (0)
  15. Virus nach Formatierung immer noch da
    Log-Analyse und Auswertung - 07.10.2007 (10)
  16. nach escan immer noch blau
    Log-Analyse und Auswertung - 14.05.2006 (19)
  17. Immer noch Pop-Ups nach Hijack und Norton
    Log-Analyse und Auswertung - 23.03.2006 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema immer noch sdfadf.df Files nach conficker.L Angriff - Ich habe einen DNS Server (Win2k server) in einer NT Domäne. Dieser wurde von Conficker befallen und mittels verschiedener Tools versucht zu bereinigen. Danach wurde der DNS-Server neu installiert, mit - immer noch sdfadf.df Files nach conficker.L Angriff...
Archiv
Du betrachtest: immer noch sdfadf.df Files nach conficker.L Angriff auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131