|
Plagegeister aller Art und deren Bekämpfung: Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.12.2009, 13:18 | #1 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Hallo ihr Lieben, bin absolut neu hier und kenne mich nicht wirklich gut aus. Als ich gestern im Internet gesurft habe,kam plötzlich die Meldung meines ANTIVIR,dass ein Trojaner gefunden wurde,hab dann Zugriff verweigert und die Datei gelöscht. Als ich dann circa ne halbe Stunde später wieder an den Pc bin,hatte sich irgednwie ein angebliches Windows-Sicherheitsprogramm installiert und ich wurde gefragt,ob ich ANTIVIR wirklich deinstallieren will,dass hab ich natürlich verneint. Nun kann ich weder ANTIVIR noch SpyBot noch Hijack this (was im Internet empfohlen) installieren. Hab dann mal mehrere Onlinevirenscanner drüber laufen lassen,Bitdefender erkennt dann zwar die Probleme,kann sie aber nicht beheben : Vorgang Explorer.EXE (660) ist infiziert mit Gen:Trojan.Heur.Vundo.cy4@diPE2Jd Vorgang svchost.exe (1336) ist infiziert mit Gen:Trojan.Heur.Vundo.by4@dCgCSGe 2 infizierte Datei(en) gefunden! ---------------------------------- C:\WINDOWS\system32\H8SRTsunblqpjej.dll - Gen:Trojan.Heur.Vundo.cy4@diPE2Jd C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll - Gen:Trojan.Heur.Vundo.by4@dCgCSGe Ich hab wirklich keine Ahnung was ich tun soll & bitte um schnell Hilfe. ACh jah CC CLeaner hab ich drüber laufen lassen, dass Programm Malwarebytes kann ich,wie die meisten Antiviren Programme nicht installieren! Noch etwas: Mit dem Active Scan habe ich folgendes gefunden : ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-12-22 23:09:47 PROTECTIONS: 2 MALWARE: 1 SUSPECTS: 1 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== Malware Defense 1.0 Yes No AntiVir Desktop 9.0.1.32 No No ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00027660 adware/savenow Adware No 0 Yes No hkey_classes_root\wusn.1 00027660 adware/savenow Adware No 0 Yes No hkey_local_machine\software\classes\wusn.1 ;===================================================================================================================================================== ============================== SUSPECTS Sent Location ;================================================================ No globalroot\systemroot\system32\h8srtsunblqpjej.dll Geändert von year_zero (23.12.2009 um 13:45 Uhr) |
23.12.2009, 14:14 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Hallo und
__________________Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! ) Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________ |
23.12.2009, 14:44 | #3 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Also wie gesagt, CC Cleaner hab ich laufen lassen,hat auch circa 470 MB gelöscht,das Malwarebytes Programm kann ich wie gesagt nicht installieren (scheint der Virus/Trojnaer zu blocken) und GMER hat folgendes ausgespuckt : (Weiter unten die Logfiles von RSIT)
__________________GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2009-12-23 14:42:10 Windows 5.1.2600 Service Pack 2 Running: s16l4ctj.exe; Driver: C:\DOKUME~1\Olli\LOKALE~1\Temp\kwldapog.sys ---- System - GMER 1.0.15 ---- Code 82D5E2E8 ZwEnumerateKey Code 82D5B550 ZwFlushInstructionCache Code 82D5BD2E IofCallDriver Code 82D57D3E IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EDE00 5 Bytes JMP 82D5BD33 .text ntkrnlpa.exe!IofCompleteRequest 804EDE90 5 Bytes JMP 82D57D43 PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805AA912 5 Bytes JMP 82D5B554 PAGE ntkrnlpa.exe!ZwEnumerateKey 80619412 5 Bytes JMP 82D5E2EC ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. ? C:\WINDOWS\System32\Drivers\SPTD1709.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6EC2360, 0x372FAD, 0xE8000020] .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 F6E534D0 16 Bytes [68, E1, FC, CC, E7, 20, 45, ...] {PUSH 0xe7ccfce1; AND [EBP+0x19], AL; RET 0x538b; MOVS DWORD DS:[EDI]; SUB BL, BH; LAHF } .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 F6E534E1 31 Bytes [20, E5, F6, 7C, 5B, AB, A2, ...] ? C:\WINDOWS\System32\Drivers\dtscsi.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text C:\WINDOWS\System32\DRIVERS\ithsgt.sys section is writeable [0xBABFF300, 0x21770, 0xE8000020] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F8437C82] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8319D708 Device \FileSystem\Fastfat \FatCdrom 82593EB0 Device \FileSystem\Fastfat \FatCdrom 82907620 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8319D0E8 Device \Driver\dmio \Device\DmControl\DmConfig 8319D0E8 Device \Driver\dmio \Device\DmControl\DmPnP 8319D0E8 Device \Driver\dmio \Device\DmControl\DmInfo 8319D0E8 Device \Driver\00000057 \Device\00000055 sptd.sys Device \Driver\Ftdisk \Device\HarddiskVolume1 8319E330 Device \Driver\Ftdisk \Device\HarddiskVolume2 8319E330 Device \FileSystem\Rdbss \Device\FsWrap 8291C0E8 Device \FileSystem\Rdbss \Device\FsWrap 82FF9B20 Device \Driver\Ftdisk \Device\HarddiskVolume3 8319E330 Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-24 82DA0908 Device \Driver\atapi \Device\Ide\IdePort0 82DA0908 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 82DA0908 Device \Driver\atapi \Device\Ide\IdePort1 82DA0908 Device \Driver\atapi \Device\Ide\IdePort2 82DA0908 Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 82DA0908 Device \Driver\atapi \Device\Ide\IdePort3 82DA0908 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-1c 82DA0908 Device \Driver\NetBT \Device\NetBt_Wins_Export 829370E8 Device \Driver\NetBT \Device\NetbiosSmb 829370E8 Device \FileSystem\Srv \Device\LanmanServer 827B1270 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82912EB0 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82FEF6F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 82912EB0 Device \FileSystem\MRxSmb \Device\LanmanRedirector 82FEF6F8 Device \FileSystem\Npfs \Device\NamedPipe 8293CEB0 Device \FileSystem\Npfs \Device\NamedPipe 82FD88E0 Device \Driver\Ftdisk \Device\FtControl 8319E330 Device \Driver\NetBT \Device\NetBT_Tcpip_{C88A3C75-5EC9-4449-BA81-99F90AFF9A2D} 829370E8 Device \FileSystem\Msfs \Device\Mailslot 8293FEB0 Device \FileSystem\Msfs \Device\Mailslot 82FE1EA0 Device \Driver\a347scsi \Device\Scsi\a347scsi1Port5Path0Target0Lun0 82F1DD80 Device \Driver\a347scsi \Device\Scsi\a347scsi1 82F1DD80 Device \Driver\dtscsi \Device\Scsi\dtscsi1Port4Path0Target0Lun0 82954958 Device \Driver\dtscsi \Device\Scsi\dtscsi1 82954958 Device \FileSystem\Fastfat \Fat 82593EB0 Device \FileSystem\Fastfat \Fat 82907620 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82FDC960 Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82FDC960 Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82FDC960 Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82FDC960 Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82FDC960 Device \FileSystem\Cdfs \Cdfs 8300C9A0 Device \FileSystem\Cdfs \Cdfs 82F49488 ---- Modules - GMER 1.0.15 ---- Module _________ F8337000-F834F000 (98304 bytes) Module \systemroot\system32\drivers\H8SRTckkylhlkjp.sys (*** hidden *** ) F52C0000-F52DC000 (114688 bytes) ---- Threads - GMER 1.0.15 ---- Thread System [4:740] BA73F880 Thread System [4:1840] BA742940 ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\H8SRTsunblqpjej.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1332] 0x00910000 Library \\?\globalroot\systemroot\system32\H8SRTsunblqpjej.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [2020] 0x10000000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTckkylhlkjp.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xBA 0x7E 0x4D 0x10 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x06 0x2A 0xF0 0x56 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC1 0x41 0xA9 0xB8 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x42 0xD9 0x75 0x89 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x42 0xD9 0x75 0x89 ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x42 0xD9 0x75 0x89 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTckkylhlkjp.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTckkylhlkjp.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTsmsdudkvjc.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTfakypafrql.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTsunblqpjej.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x64 0x62 0x02 0x00 ... Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys (not active ControlSet) Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTckkylhlkjp.sys Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTckkylhlkjp.sys Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTsmsdudkvjc.dll Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTfakypafrql.dat Reg HKLM\SYSTEM\ControlSet008\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTsunblqpjej.dll Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x95 0x2A 0xD1 0x25 ... Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\ Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x8E 0x2E 0x72 0x48 ... Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet008\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x64 0x62 0x02 0x00 ... ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\Olli\Lokale Einstellungen\Temp\H8SRTfe7d.tmp 343040 bytes executable File C:\WINDOWS\system32\drivers\H8SRTckkylhlkjp.sys 39936 bytes executable <-- ROOTKIT !!! File C:\WINDOWS\system32\H8SRTfakypafrql.dat 202 bytes File C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll 23040 bytes executable File C:\WINDOWS\system32\H8SRTsunblqpjej.dll 36864 bytes executable File C:\WINDOWS\Temp\H8SRT6c66.tmp 202 bytes ---- EOF - GMER 1.0.15 ---- RSIT Logfiles : http://www.file-upload.net/download-...rdner.rar.html Geändert von year_zero (23.12.2009 um 14:51 Uhr) |
23.12.2009, 14:52 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Da ist ein Rootkit aktiv!! Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen: 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code:
ATTFilter files to delete: C:\WINDOWS\SYSTEM32\drivers\H8SRTckkylhlkjp.sys C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll C:\WINDOWS\system32\H8SRTsunblqpjej.dll C:\WINDOWS\system32\H8SRTfakypafrql.dat C:\WINDOWS\Temp\H8SRT6c66.tmp 5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.12.2009, 14:56 | #5 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" a) Deaktiviere den Hintergrundwächter vom Virenscanner. Wie?Antivir lässt sich ja nicht öffnen! |
23.12.2009, 14:58 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Nimm nicht alles wörtlich Deaktivieren kannst Du nur falls da ein Wächter aktiv ist
__________________ --> Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" |
23.12.2009, 15:04 | #7 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. Hidden driver "H8SRTd.sys" found! ImagePath: \systemroot\system32\drivers\H8SRTckkylhlkjp.sys Driver disabled successfully. Rootkit scan completed. File "C:\WINDOWS\SYSTEM32\drivers\H8SRTckkylhlkjp.sys" deleted successfully. File "C:\WINDOWS\system32\H8SRTsmsdudkvjc.dll" deleted successfully. File "C:\WINDOWS\system32\H8SRTsunblqpjej.dll" deleted successfully. File "C:\WINDOWS\system32\H8SRTfakypafrql.dat" deleted successfully. Error: file "C:\WINDOWS\Temp\H8SRT6c66.tmp" not found! Deletion of file "C:\WINDOWS\Temp\H8SRT6c66.tmp" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Okay Antivir läuft wieder,ist damit alle Gefahr gebannt? Was kann ich in Zukunft tun um sowas zu vermeiden? |
23.12.2009, 15:12 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Wir sind noch nicht durch! Bitte einen Durchlauf mit Malwarebytes probieren und Log posten!
__________________ Logfiles bitte immer in CODE-Tags posten |
23.12.2009, 16:36 | #9 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Okay ist (endlich) durch : Malwarebytes' Anti-Malware 1.42 Datenbank Version: 3415 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 23.12.2009 16:35:26 mbam-log-2009-12-23 (16-35-26).txt Scan-Methode: Vollständiger Scan (C:\|E:\|H:\|) Durchsuchte Objekte: 217835 Laufzeit: 1 hour(s), 18 minute(s), 53 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\h8srtd.sys (Rootkit.TDSS) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\System Volume Information\_restore{5962DFA0-E7A4-4685-B16C-16A32EF5E7D7}\RP1131\A0611470.sys (Malware.Packer) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{5962DFA0-E7A4-4685-B16C-16A32EF5E7D7}\RP1131\A0611471.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{5962DFA0-E7A4-4685-B16C-16A32EF5E7D7}\RP1131\A0611472.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{5962DFA0-E7A4-4685-B16C-16A32EF5E7D7}\RP1131\A0611474.exe (Trojan.Banker) -> Quarantined and deleted successfully. E:\Audiograbber\Uninstall.exe (Rootkit.Agent) -> Quarantined and deleted successfully. |
23.12.2009, 19:41 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Ok, nun noch bitte einen Durchlauf mit Combofix, dann sehen wir weiter. Wir sind aber schon ein paar Schritte weiter, das Rootkit dürfte weg sein: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
23.12.2009, 20:43 | #11 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" Dass war's nun aber? ComboFix 09-12-22.09 - Olli 23.12.2009 20:27:30.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.266 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Olli\Desktop\cofi.exe AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7} . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\krl32mainweq.dll c:\windows\system32\ntSVc.ocx c:\windows\system32\srcr.dat Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\atapi.sys wurde wiederhergestellt . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF ((((((((((((((((((((((( Dateien erstellt von 2009-11-23 bis 2009-12-23 )))))))))))))))))))))))))))))) . 2009-12-23 14:14 . 2009-12-23 14:14 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Malwarebytes 2009-12-23 14:14 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-12-23 14:14 . 2009-12-23 14:14 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-12-23 14:14 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-23 14:14 . 2009-12-23 14:14 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-12-23 13:46 . 2009-12-23 13:46 -------- d-----w- c:\programme\trend micro 2009-12-23 13:46 . 2009-12-23 13:47 -------- d-----w- C:\rsit 2009-12-23 12:40 . 2009-12-23 12:40 -------- d-----w- c:\dokumente und einstellungen\Administrator.OLLISPC\Lokale Einstellungen\Anwendungsdaten\Mozilla 2009-12-23 11:56 . 2009-12-23 11:56 -------- d-----w- C:\VundoFix Backups 2009-12-22 22:03 . 2009-06-30 08:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys 2009-12-22 22:02 . 2009-12-22 22:02 -------- d-----w- c:\programme\Panda Security 2009-12-22 21:42 . 2009-12-23 15:49 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\QuickScan 2009-12-22 20:06 . 2009-12-22 20:00 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys 2009-12-22 20:00 . 2009-12-23 11:38 -------- d-----w- c:\dokumente und einstellungen\Olli\.housecall6.6 2009-12-22 19:07 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys 2009-12-22 19:07 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys 2009-12-22 19:07 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys 2009-12-22 19:06 . 2009-12-22 19:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-12-22 17:25 . 2009-12-22 17:25 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll 2009-12-19 17:55 . 2009-12-19 17:55 -------- d-----w- c:\programme\iPod 2009-12-10 18:34 . 2004-08-03 23:57 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll 2009-12-10 18:34 . 2004-08-03 23:57 21504 ----a-w- c:\windows\system32\hidserv.dll 2009-12-06 22:52 . 2009-12-06 22:52 -------- d-----w- c:\windows\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Google 2009-11-25 17:00 . 2009-11-25 17:00 58672 ---ha-w- c:\windows\system32\mlfcache.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-23 15:49 . 2009-09-16 13:19 -------- d-----w- c:\programme\Windows Live 2009-12-23 14:07 . 2006-11-22 20:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-12-22 21:34 . 2009-03-18 08:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-22 19:48 . 2007-12-30 18:48 96 ----a-w- c:\windows\system32\mslck.dat 2009-12-22 19:27 . 2008-05-26 21:24 -------- d-----w- c:\programme\Google 2009-12-22 17:10 . 2005-12-17 19:14 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-12-21 10:46 . 2008-12-25 11:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-12-20 21:09 . 2008-12-29 17:51 -------- d-----w- c:\programme\PokerStars 2009-12-19 17:55 . 2008-12-25 11:20 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2009-12-19 17:52 . 2008-12-25 11:21 -------- d-----w- c:\programme\QuickTime 2009-12-19 17:47 . 2009-12-19 17:47 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe 2009-12-19 17:44 . 2009-06-29 15:45 -------- d-----w- c:\programme\Safari 2009-12-19 17:41 . 2009-12-19 17:41 79144 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe 2009-12-18 17:33 . 2009-12-22 21:42 684032 ----a-w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll 2009-12-18 17:32 . 2009-12-22 21:42 776704 ----a-w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll 2009-12-15 19:57 . 2006-04-12 10:53 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\OpenOffice.org2 2009-12-15 18:19 . 2009-06-12 11:21 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\gtk-2.0 2009-12-06 18:49 . 2008-02-06 12:35 -------- d-----w- c:\programme\Azureus 2009-12-06 18:49 . 2006-03-03 16:02 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Azureus 2009-12-02 19:20 . 2008-03-31 11:47 -------- d-----w- c:\programme\Soulseek 2009-11-25 16:47 . 2007-11-19 15:24 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Winamp 2009-11-25 16:45 . 2006-01-13 12:42 -------- d-----w- c:\programme\Winamp 2009-11-16 16:59 . 2009-11-16 16:59 -------- d-----w- c:\dokumente und einstellungen\Olli\Anwendungsdaten\Trillian 2009-11-11 21:18 . 2007-12-28 10:53 -------- d-----w- c:\programme\CamStudio 2009-10-28 17:32 . 2006-02-24 22:40 -------- d-----w- c:\programme\DivX 2009-10-28 17:31 . 2009-10-28 17:31 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-10-27 17:45 . 2009-05-27 15:06 -------- d-----w- c:\programme\Spybot - Search & Destroy 2009-10-25 19:36 . 2001-08-23 12:00 49000 ----a-w- c:\windows\system32\perfc007.dat 2009-10-25 19:36 . 2001-08-23 12:00 319498 ----a-w- c:\windows\system32\perfh007.dat 2009-09-25 16:42 . 2007-01-05 10:42 129784 ------w- c:\windows\system32\pxafs.dll 2009-09-25 16:42 . 2006-02-24 22:40 120056 -c----w- c:\windows\system32\pxcpyi64.exe 2009-09-25 16:42 . 2006-02-24 22:40 118520 -c----w- c:\windows\system32\pxinsi64.exe 2009-09-25 16:41 . 2009-09-25 16:41 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-09-25 16:41 . 2009-09-25 16:41 856064 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-09-25 16:41 . 2009-09-25 16:41 856064 ----a-w- c:\windows\system32\divx_xx07.dll 2009-09-25 16:41 . 2009-09-25 16:41 847872 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-09-25 16:41 . 2009-09-25 16:41 843776 ----a-w- c:\windows\system32\divx_xx16.dll 2009-09-25 16:41 . 2009-09-25 16:41 839680 ----a-w- c:\windows\system32\divx_xx11.dll 2009-09-25 16:41 . 2009-09-25 16:41 696320 ----a-w- c:\windows\system32\DivX.dll 2009-09-25 12:50 . 2006-01-27 09:20 348160 ----a-w- c:\windows\system32\msvcr71.dll 2009-09-25 12:50 . 2003-03-19 09:14 499712 ----a-w- c:\windows\system32\msvcp71.dll . ------- Sigcheck ------- [7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\atapi.sys [-] 2004-08-03 21:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys [7] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\atapi.sys [7] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0003\DriverFiles\i386\atapi.sys [7] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "h:\\AoE\\age2_x1.exe"= "c:\\WINDOWS\\system32\\dplaysvr.exe"= "c:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"= "c:\\Programme\\Soulseek\\slsk.exe"= "c:\\Programme\\Azureus\\Azureus.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= "e:\\Steam\\Steam.exe"= "e:\\Itunes\\iTunes.exe"= R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [04.05.2007 15:51 160640] R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [04.05.2007 15:51 5248] R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [22.12.2009 23:03 28552] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [22.12.2009 20:06 108289] R2 WUSB54Gv42SVC;WUSB54Gv42SVC;c:\programme\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe [28.10.2007 14:07 53307] S2 gupdate;Google Update Service (gupdate);"c:\programme\Google\Update\GoogleUpdate.exe" /svc --> c:\programme\Google\Update\GoogleUpdate.exe [?] S3 adxapie;adxapie;\??\c:\dokume~1\Olli\LOKALE~1\Temp\adxapie.sys --> c:\dokume~1\Olli\LOKALE~1\Temp\adxapie.sys [?] S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?] S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.02.2006 17:56 642560] . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = *.local IE: &ICQ Toolbar Search - e:\icqtoolbar\toolbaru.dll/SEARCH.HTML IE: E&xport to Microsoft Excel - e:\office\OFFICE11\EXCEL.EXE/3000 TCP: {2732F219-B1B5-4B18-90CF-721D691CCCB3} = 192.168.0.1 TCP: {3234F36A-2C9D-4E49-AB13-94E4D9C5EADB} = 192.168.0.1 TCP: {71F9F4C2-B93D-408A-B7DA-6CBEA0267B0B} = 192.168.0.1 TCP: {C88A3C75-5EC9-4449-BA81-99F90AFF9A2D} = 192.168.0.1 FF - ProfilePath - c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - component: c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll FF - component: c:\programme\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll FF - plugin: c:\dokumente und einstellungen\Olli\Anwendungsdaten\Mozilla\Firefox\Profiles\xaigrc0m.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPJPI150_11.dll FF - plugin: c:\programme\Java\jre1.5.0_11\bin\NPOJI610.dll FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF - plugin: e:\adobe\Reader\browser\nppdf32.dll FF - plugin: e:\itunes\Mozilla Plugins\npitunes.dll ---- FIREFOX Richtlinien ---- FF - user.js: network.http.max-persistent-connections-per-server - 4 FF - user.js: content.max.tokenizing.time - 200000 FF - user.js: content.notify.interval - 100000 FF - user.js: content.switch.threshold - 650000 FF - user.js: nglayout.initialpaint.delay - 300 . - - - - Entfernte verwaiste Registrierungseinträge - - - - AddRemove-Audiograbber - e:\audiograbber\Uninstall.exe AddRemove-Steam App 70 - c:\progra~1\Steam\steam.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-23 20:36 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82DA15A8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf8648fc3 \Driver\ACPI -> ACPI.sys @ 0xf84a2cb8 \Driver\atapi -> 0x82da15a8 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44 ParseProcedure -> ntkrnlpa.exe @ 0x80576964 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44 ParseProcedure -> ntkrnlpa.exe @ 0x80576964 NDIS: -> SendCompleteHandler -> 0x0 PacketIndicateHandler -> 0x0 SendHandler -> 0x0 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-507921405-1425521274-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "???n"=hex:a0,22,db,7d,d9,0e,98,74,df,f3,20,43,85,8f,02,24,d6,a0,c2,37,d6,3f, d2,e9,58,a8,69,9f,49,43,70,dc,05,02,24,ad,36,48,d7,2b,81,69,62,e9,5a,be,f5,\ "?????"=hex:fa,47,17,b1,35,62,9a,e6,99,6b,28,89,0f,30,a0,08 "???n"=hex:6a,bd,a6,10,21,2f,20,29,a1,27,db,61,4f,8b,16,a0,fd,48,ed,57,ee,42, 84,ca,44,0d,69,ea,2c,f7,1c,03,cf,5a,c5,d2,ac,ea,95,a5,63,51,12,8b,70,43,bd,\ . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(2160) c:\windows\system32\msi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Bonjour\mDNSResponder.exe c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE c:\windows\system32\nvsvc32.exe c:\windows\System32\wdfmgr.exe c:\windows\System32\MsPMSPSv.exe c:\programme\Linksys Wireless-G USB Wireless Network Monitor\WUSB54Gv42.exe c:\windows\system32\wscntfy.exe c:\windows\system32\RUNDLL32.EXE . ************************************************************************** . Zeit der Fertigstellung: 2009-12-23 20:42:11 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-12-23 19:42 Vor Suchlauf: 5.321.486.336 Bytes frei Nach Suchlauf: 5.245.788.160 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn Current=7 Default=7 Failed=6 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8 - - End Of File - - EBD599B2067508764AED6AE515599CC3 |
23.12.2009, 20:50 | #12 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe"Zitat:
c:\windows\system32\drivers\pavboot.sys Diese Datei bitte bei Virustotal.com checken lassen und Ergebnislink posten. Erstell bitte auch noch ein frisches Log mit GMER und poste es.
__________________ Logfiles bitte immer in CODE-Tags posten |
23.12.2009, 21:36 | #13 |
| Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" bei GMER kommt leider immer : Ein Fehler wurde festgestellt "...." musste beendet werden.... bei virustotal : Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.43 2009.12.23 - AhnLab-V3 5.0.0.2 2009.12.23 - AntiVir 7.9.1.122 2009.12.23 - Antiy-AVL 2.0.3.7 2009.12.23 - Authentium 5.2.0.5 2009.12.23 - Avast 4.8.1351.0 2009.12.23 - AVG 8.5.0.430 2009.12.23 - BitDefender 7.2 2009.12.23 - CAT-QuickHeal 10.00 2009.12.23 - ClamAV 0.94.1 2009.12.23 - Comodo 3342 2009.12.23 - DrWeb 5.0.1.12222 2009.12.23 - eSafe 7.0.17.0 2009.12.23 - eTrust-Vet 35.1.7193 2009.12.23 - F-Prot 4.5.1.85 2009.12.23 - F-Secure 9.0.15370.0 2009.12.23 - Fortinet 4.0.14.0 2009.12.23 - GData 19 2009.12.23 - Ikarus T3.1.1.79.0 2009.12.23 - Jiangmin 13.0.900 2009.12.23 - K7AntiVirus 7.10.926 2009.12.22 - Kaspersky 7.0.0.125 2009.12.23 - McAfee 5841 2009.12.23 - McAfee+Artemis 5841 2009.12.23 - McAfee-GW-Edition 6.8.5 2009.12.23 - Microsoft 1.5302 2009.12.23 - NOD32 4713 2009.12.23 - Norman 6.04.03 2009.12.23 - nProtect 2009.1.8.0 2009.12.23 - Panda 10.0.2.2 2009.12.15 - PCTools 7.0.3.5 2009.12.23 - Prevx 3.0 2009.12.23 - Rising 22.27.02.02 2009.12.23 - Sophos 4.49.0 2009.12.23 - Sunbelt 3.2.1858.2 2009.12.23 - Symantec 1.4.4.12 2009.12.23 - TheHacker 6.5.0.3.109 2009.12.23 - TrendMicro 9.120.0.1004 2009.12.23 - VBA32 3.12.12.0 2009.12.23 - ViRobot 2009.12.23.2105 2009.12.23 - VirusBuster 5.0.21.0 2009.12.23 - weitere Informationen File size: 28552 bytes MD5...: 3adb8bd6154a3ef87496e8fce9c22493 SHA1..: 90212e5b5c714e7a0f27614c516b0e0316d7730e SHA256: f87dc89a1d8613a92fa1b1454f4cacaf6730252c2ccacc424de87998b24d19c2 ssdeep: 768:UYMyRLCfOeTEMNgKlhFcRbpZoW7L+bVm:UYnLCWBRbv7is PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4605 timedatestamp.....: 0x4a48aa64 (Mon Jun 29 11:49:56 2009) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x480 0x3d30 0x3d80 6.28 fc0244152da77bc3b9dfbff4e82524ce .rdata 0x4200 0x224 0x280 3.63 776e04898c922c80549514e1be08db79 .data 0x4480 0x180 0x180 0.21 b26d6caa04f4b123fdc98b003a534973 INIT 0x4600 0x7bc 0x800 5.31 11defc6a960c00fcb75056c61e2711c9 .rsrc 0x4e00 0x300 0x300 3.24 c48713d5d89b7922c239ff2761129f2b .reloc 0x5100 0x432 0x480 5.73 f4344bcdcbf0fdee142946b371a56d56 ( 2 imports ) > ntoskrnl.exe: InitSafeBootMode, strncmp, PsGetVersion, ExAllocatePoolWithTag, IoGetCurrentProcess, memcpy, memset, ExFreePoolWithTag, IoDeleteDevice, ZwClose, ZwQueryValueKey, ZwOpenKey, RtlAppendUnicodeToString, RtlCopyUnicodeString, ZwSetValueKey, ZwCreateKey, RtlAppendUnicodeStringToString, RtlCompareUnicodeString, ObQueryNameString, ZwQuerySymbolicLinkObject, RtlFreeUnicodeString, ZwOpenSymbolicLinkObject, RtlAnsiStringToUnicodeString, RtlInitAnsiString, MmIsAddressValid, _stricmp, strncpy, PsSetCreateProcessNotifyRoutine, IofCallDriver, IofCompleteRequest, PsGetCurrentThreadId, ExQueueWorkItem, IoAttachDeviceToDeviceStack, RtlInitUnicodeString, ObfReferenceObject, ObfDereferenceObject, IoDetachDevice, RtlFreeAnsiString, RtlCompareString, sprintf, RtlUnicodeStringToAnsiString, IoGetDeviceObjectPointer, IoRegisterFsRegistrationChange, NtOpenProcessToken, RtlCopySid, RtlLengthSid, NtQueryInformationToken, NtQuerySecurityObject, NtSetSecurityObject, RtlSetOwnerSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlAddAccessAllowedAce, RtlCreateAcl, RtlCreateSecurityDescriptor, ZwDeleteKey, ZwReadFile, ZwWriteFile, ZwQueryInformationFile, wcsncpy, ZwSetInformationFile, ZwCreateFile, ZwDeleteFile, NtQueryDirectoryFile, _wcsicmp, KeTickCount, KeBugCheckEx, IoCreateDevice, IoCreateSymbolicLink, KeDelayExecutionThread, IoDeleteSymbolicLink, RtlUnwind > HAL.dll: KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql ( 0 exports ) RDS...: NSRL Reference Data Set - sigcheck: publisher....: Panda Security, S.L. copyright....: (c) Panda Security 2008 product......: n/a description..: Panda Boot Driver original name: pavboot.sys internal name: pavboot file version.: 1.0.11.0 comments.....: n/a signers......: Panda Security S.L VeriSign Class 3 Code Signing 2004 CA Class 3 Public Primary Certification Authority signing date.: 9:37 AM 6/30/2009 verified.....: - pdfid.: - trid..: Win32 Executable Generic (51.1%) Win16/32 Executable Delphi generic (12.4%) Clipper DOS Executable (12.1%) Generic Win/DOS Executable (12.0%) DOS Executable Generic (12.0%) |
Themen zu Trojaner "Gen:Trojan.Heur.Vundo.cy4@diPE2Jd" & "Gen:Trojan.Heur.Vundo.by4@dCgCSGe" |
antivir, bitdefender, cc cleaner, datei, defender, defense, explorer.exe, gen, hijack, hijack this, infiziert, infizierte, infizierte datei, internet, neu, plötzlich, probleme, rojaner gefunden, scan, schnell, spybot, svchost.exe, system, system32, this, trojan.heur.vundo.by4@dcgcsge, trojaner, trojaner gefunden, zugriff, zugriff verweigert |