|
Plagegeister aller Art und deren Bekämpfung: TR/Proxy.Ranky.AX und Worm/SdBot.44112 BefallWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.11.2004, 13:12 | #1 |
| TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall Hallo zusammen! Wir haben mal wieder oder immer noch ein Problem mit Proxy.Ranky.AX und Worm/SdBot.44112. Wir haben beide schon mehrmals gehabt und igrnedwie löschen können, nur diesmal sind sie besonders hartnäckig und haben sich in einer Datei festgesetzt, die wir nicht finden können. Haben auch schon den Ratschlag gehört, zu formatieren, aber das wäre ja keine Dauerlösung, denn das heißt ja nicht, dass wir wieder Besuch bekommen würden von den beiden . Haben mal das Protokoll von Antivir und Hijack zugefügt. Vielleicht kann uns ja damit jemand weiterhelfen. Denn trotzdem wir inzwischen ganz gut verstehen, was da alles steht, sind wir jetzt völlig ratlos Hier das Antivirprotokoll: Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\SUN winampo.exe WARNUNG! Ungültige Startadresse! C:\RECYCLER\S-1-5-21-220523388-1060284298-51556883-1000 Dc214.exe ArchiveType: RAR SFX (self extracting) --> vhdfs.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.AX --> gfsfgt.exe [FUND!] Enthält Signatur des Wurmes Worm/SdBot.44112 Dc215.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt Fehler beim Wechsel in das Verzeichnis System Volume Information Und hier die Infos von Hijack: Logfile of HijackThis v1.98.2 Scan saved at 13:13:36, on 17.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe E:\AVPersonal\AVGUARD.EXE E:\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE E:\Scanner\OmniPageSE\opware32.exe E:\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\WINNT\htpatch.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\system32\NeroASM.exe C:\WINNT\system32\winampo.exe C:\WINNT\system32\integator.exe C:\WINNT\system32\dllsafe.exe C:\WINNT\system32\tskmsgr.exe C:\WINNT\system32\msbuffer.exe C:\WINNT\system32\jupos.exe C:\WINNT\system32\explorer.exe C:\WINNT\system32\windrive32.exe E:\AVPersonal\AVGNT.EXE C:\WINNT\system32\nmod.exe C:\WINNT\system32\ultraedit.exe C:\WINNT\system32\sysidle.exe E:\Trojancheck 6\tcguard.exe C:\WINNT\system32\netservice.exe C:\WINNT\system32\winampo.exe C:\WINNT\system32\integator.exe C:\WINNT\system32\dllsafe.exe C:\WINNT\system32\msbuffer.exe C:\WINNT\system32\jupos.exe C:\WINNT\system32\explorer.exe C:\WINNT\system32\windrive32.exe C:\WINNT\system32\tskmsgr.exe C:\WINNT\system32\nmod.exe C:\WINNT\system32\ultraedit.exe E:\Microsoft Office\Office\OSA.EXE C:\WINNT\system32\rundll32.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\Internet Explorer\iexplore.exe E:\MOUSEW~1\system\WebColct.exe C:\WINNT\system32\NOTEPAD.EXE C:\DOKUME~1\SUN\LOKALE~1\Temp\Rar$EX00.702\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Omnipage] E:\Scanner\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [EM_EXEC] E:\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [Microsoft Synchronization Manager] netservice.exe O4 - HKLM\..\Run: [Windows NT Login] ntlogin32.exe O4 - HKLM\..\Run: [NeroAutoStartClient] NeroASM.exe O4 - HKLM\..\Run: [netservices] svchostn.exe O4 - HKLM\..\Run: [Fix Winamp] winampo.exe O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe O4 - HKLM\..\Run: [Windows Fix] integator.exe O4 - HKLM\..\Run: [Sysmon] dllsafe.exe O4 - HKLM\..\Run: [klgkfq] mgmjva.exe O4 - HKLM\..\Run: [Microsoft Video Controls] tskmsgr.exe O4 - HKLM\..\Run: [Microsoft Buffer App] msbuffer.exe O4 - HKLM\..\Run: [JuPo] jupos.exe O4 - HKLM\..\Run: [Sys-Stat] explorer.exe O4 - HKLM\..\Run: [ActiveX Streamer] msgfix.exe O4 - HKLM\..\Run: [Micrsoft Driver] windrive32.exe O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [System Document Application] nmod.exe O4 - HKLM\..\Run: [Ultra Edit v5.1] ultraedit.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Trojancheck 6\tcguard.exe O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] netservice.exe O4 - HKLM\..\RunServices: [Windows NT Login] ntlogin32.exe O4 - HKLM\..\RunServices: [NeroAutoStartClient] NeroASM.exe O4 - HKLM\..\RunServices: [netservices] svchostn.exe O4 - HKLM\..\RunServices: [Fix Winamp] winampo.exe O4 - HKLM\..\RunServices: [Windows Fix] integator.exe O4 - HKLM\..\RunServices: [Sysmon] dllsafe.exe O4 - HKLM\..\RunServices: [klgkfq] mgmjva.exe O4 - HKLM\..\RunServices: [Microsoft Video Controls] tskmsgr.exe O4 - HKLM\..\RunServices: [Microsoft Buffer App] msbuffer.exe O4 - HKLM\..\RunServices: [JuPo] jupos.exe O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe O4 - HKLM\..\RunServices: [Sys-Stat] explorer.exe O4 - HKLM\..\RunServices: [ActiveX Streamer] msgfix.exe O4 - HKLM\..\RunServices: [Micrsoft Driver] windrive32.exe O4 - HKLM\..\RunServices: [System Document Application] nmod.exe O4 - HKLM\..\RunServices: [Ultra Edit v5.1] ultraedit.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [Microsoft Synchronization Manager] netservice.exe O4 - HKCU\..\Run: [Fix Winamp] winampo.exe O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe O4 - HKCU\..\Run: [Windows Fix] integator.exe O4 - HKCU\..\Run: [Sysmon] dllsafe.exe O4 - HKCU\..\Run: [Microsoft Buffer App] msbuffer.exe O4 - HKCU\..\Run: [JuPo] jupos.exe O4 - HKCU\..\Run: [Sys-Stat] explorer.exe O4 - HKCU\..\Run: [ActiveX Streamer] msgfix.exe O4 - HKCU\..\Run: [Micrsoft Driver] windrive32.exe O4 - HKCU\..\Run: [Microsoft Video Controls] tskmsgr.exe O4 - HKCU\..\Run: [System Document Application] nmod.exe O4 - HKCU\..\Run: [Ultra Edit v5.1] ultraedit.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Office-Start.lnk = E:\Microsoft Office\Office\OSA.EXE O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\YAHOO!~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\YAHOO!~1\YPager.exe O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{28FF1681-13FF-4E0E-BC52-A5293E40C0CD}: NameServer = 145.253.2.81 145.253.2.171 O17 - HKLM\System\CS1\Services\Tcpip\..\{28FF1681-13FF-4E0E-BC52-A5293E40C0CD}: NameServer = 145.253.2.81 145.253.2.171 Vielen Dank schonmal im Vorraus, für alle die uns in irgendeiner Form weiterhelfen können. |
17.11.2004, 13:30 | #2 |
| TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall Du hast da ja eine ganz schöne Backdoorsammlung auf deinem System. Wenn man richtig formatiert (was du unbedingt machen solltest), dann wird man so schnell keinen Besuch mehr von den beiden oder von anderer Malware bekommen.
__________________Informationen: Datensicherung compromise PS.: Wie immer gilt auch hier: evtl vorhandene Dialer zwecks späterer Beweissicherung auf Diskette speichern. |
Themen zu TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall |
adobe, antivir, application, bho, dateien, dll, document, einstellungen, explorer, fehler, festplatte, gesperrt, hijack, hijackthis, internet, internet explorer, laufwerk c, löschen, microsoft, nvcpl.dll, problem, programme, rundll, software, system, tcpip, temp, warnung, yahoo, zugriff verweigert |