Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Dldr.Swizzor.DV + Luder.A.35 (https://www.trojaner-board.de/37808-dldr-swizzor-dv-luder-a-35-a.html)

te4cup 09.04.2007 12:24
Dldr.Swizzor.DV + Luder.A.35
 
Hallo liebe Helfer,

habe heute den Luder.A.35 und den Trojaner Dldr.Swizzor.DV gefunden.

Habe beide mit AntiVir PE in die Quarantäne verschoben und danach System neugestartet. Habe aber immer noch die gleichen Probleme, die wären:

-Nach dem aufstarten von WinXP und einloggen, muss ich immer zuerst eine Taste drücken, damit Windows weiter macht mit aufstarten und ich den Desktop sehe.
-Wenn ich den PC über Nacht eingeschaltet lasse und ich am morgen wieder komme, ist der PC ausgeschaltet und nach dem aufstarten kommt die bekannte Meldung: Windows wird nach einem schwerwiegenden Fehler wieder ausgeführt o.ä. /Senden/Nicht senden
-Bluescreens und Hänger zwischendurch (wo ich nicht einmal die Maus bewegen kann) häufen sich
-Das ganze habe ich seit etwa 3 Wochen oder so

Mein HJT-Logfile (das ich nach dem neustarten gemacht habe):

Code:
Logfile of HijackThis v1.99.1
Scan saved at 13:13:38, on 09.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
C:\Programme\Notebook Hardware Control\nhc.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Atheros\ACU.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://logon.bbbaden.local/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [NotebookHardwareControl] "C:\Programme\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab47946.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD5786C4-CDF4-4B4E-BF16-5C6C844001B7}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{11E832B9-FA0B-4F1D-BA8A-4CF9A7A7B62A}: NameServer = 192.168.0.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Unknown owner - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTSERV.EXE (file missing)
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RemoteShutDown Service (RemShutDownSvc) - Unknown owner - C:\WINDOWS\System32\remsdnsv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Dldr.Swizzor.DV müsste ein Trojaner sein. Google findet nur 2 Einträge dazu.

Zu Luder.A.35 finde ich gar nichts, zu Luder.A nur dass es ein Wurm sei und automatisch Trojaner runterlädt...

Sunny 09.04.2007 12:38
Hallo. :)

Mach als erstes mal folgendes:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
C:\WINDOWS\System32\remsdnsv.exe
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

te4cup 09.04.2007 13:02
Hallo Sunny.

Werde ich gleich machen. Habe aber noch etwas interessantes herausgefunden:

Wenn ich Wireshark (Netzwerk Monitoring Prog) laufen lasse, fällt mir auf, dass ich andauernd (vllt. alle 2 Minuten) TCP Pakete (10-20) an verschiedene IPs schicke, die mir auch andauernd TCP Pakete schickt :eek:

Eine IP gehört zum Beispiel anscheinend Wikipedia.

te4cup 09.04.2007 13:12
Virustotal:

Code:
Complete scanning result of "remsdnsv.exe", received in VirusTotal at 04.09.2007, 14:03:48 (CET).

Antivirus        Version        Update        Result
AhnLab-V3        2007.4.7.0        04.09.2007        no virus found
AntiVir        7.3.1.48        04.09.2007        no virus found
Authentium        4.93.8        04.08.2007        no virus found
Avast        4.7.936.0        04.08.2007        no virus found
AVG        7.5.0.447        04.08.2007        no virus found
BitDefender        7.2        04.09.2007        no virus found
CAT-QuickHeal        9.00        04.09.2007        no virus found
ClamAV        devel-20070312        04.09.2007        no virus found
DrWeb        4.33        04.09.2007        no virus found
eSafe        7.0.15.0        04.08.2007        no virus found
eTrust-Vet        30.7.3549        04.06.2007        no virus found
Ewido        4.0        04.08.2007        no virus found
FileAdvisor        1        04.09.2007        no virus found
Fortinet        2.85.0.0        04.09.2007        no virus found
F-Prot        4.3.1.45        04.08.2007        no virus found
F-Secure        6.70.13030.0        04.09.2007        no virus found
Ikarus        T3.1.1.3        04.09.2007        no virus found
Kaspersky        4.0.2.24        04.09.2007        no virus found
McAfee        5003        04.06.2007        no virus found
Microsoft        1.2405        04.09.2007        no virus found
NOD32v2        2174        04.09.2007        no virus found
Norman        5.80.02        04.09.2007        no virus found
Panda        9.0.0.4        04.09.2007        no virus found
Prevx1        V2        04.09.2007        no virus found
Sophos        4.16.0        04.06.2007        no virus found
Sunbelt        2.2.907.0        04.07.2007        no virus found
Symantec        10        04.09.2007        no virus found
TheHacker        6.1.6.088        04.09.2007        no virus found
VBA32        3.11.3        04.09.2007        no virus found
VirusBuster        4.3.7:9        04.08.2007        no virus found
Webwasher-Gateway        6.0.1        04.09.2007        no virus found

Aditional Information
File size: 12800 bytes
MD5: 3a338c3b945ab0e52eef51f466a6821c
SHA1: 86d87707278ee2dd22754dd2324d6221776bbe54

te4cup 09.04.2007 15:30
Hat zwar etwas gedauert, aber hier der andere Test:

Code:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 

Microsoft Windows XP [Version 5.1.2600]
Mon Apr 09 14:33:22 2007 => Deleting Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7d6dde18-136a-11db-a208-000df01dd67b}
Mon Apr 09 14:28:00 2007 => Virus-Datenbank Datum: 4/9/2007
Mon Apr 09 14:31:34 2007 => Virus-Datenbank Datum: 4/9/2007
Mon Apr 09 16:07:23 2007 => Virus-Datenbank Datum: 4/9/2007
Mon Apr 09 16:14:55 2007 => Virus-Datenbank Datum: 4/9/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Mon Apr 09 14:32:46 2007 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Einträge entfernt.
Mon Apr 09 14:32:49 2007 => System found infected with proventactics Adware (iun6002ev.exe)! Action taken: Einträge entfernt.
Mon Apr 09 14:33:15 2007 => System found infected with istbar Spyware/Adware (imgconv.dll)! Action taken: Einträge entfernt.
Mon Apr 09 14:33:16 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Apr 09 15:37:38 2007 => Scanne Datei C:\cygwin\usr\include\boost-1_33_1\boost\parameter\aux_\tagged_argument.hpp
Mon Apr 09 15:45:56 2007 => Scanne Datei C:\cygwin\usr\share\ri\1.8\system\Net\IMAP\get_tagged_response-i.yaml
Mon Apr 09 15:47:46 2007 => Scanne Datei C:\cygwin\usr\share\ri\1.8\system\YAML\tagged_classes-c.yaml
Mon Apr 09 15:16:39 2007 => File C:\Programme\NetPumper\ZM\NP_0132_1.exe//PE_Patch.UPC//UPC markiert als "not-a-virus:AdWare.Win32.Lop.ai". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Mon Apr 09 15:18:23 2007 => File C:\Programme\eMule\Incoming\Cadsoft Eagle v4 16 Patch Crack Multilanguage With Serial By Paradox.zip/cadsoft_eagle_v4.16_run.exe//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
Mon Apr 09 15:25:03 2007 => Datei C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als not-a-virus:AdTool.Win32.WhenU.a. Keine Aktion vorgenommen.
Mon Apr 09 15:25:32 2007 => Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Mon Apr 09 16:03:38 2007 => File C:\System Volume Information\_restore{34E9EC65-8771-4430-A620-D369588743C6}\RP369\A0109781.exe//PE_Patch.UPC//UPC markiert als "not-a-virus:AdWare.Win32.Lop.ai". Folgende Maßnahme wurde durchgeführt: Datei gelöscht.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Apr 09 14:32:49 2007 => Offending file found: C:\WINDOWS\iun6002ev.exe
Mon Apr 09 14:33:16 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Apr 09 14:33:09 2007 => Offending Folder found: C:\Dokumente und Einstellungen\****\Startmenü\programme\whenu
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Apr 09 14:32:47 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\whenusavemsg !!!
Mon Apr 09 14:32:47 2007 => Offending Key found: HKLM\Software\magnet !!!
Mon Apr 09 14:32:47 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Mon Apr 09 14:32:48 2007 => Offending Key found: HKCU\\magnet !!!
Mon Apr 09 14:32:48 2007 => Offending Key found: HKCU\\wusn.1 !!!
Mon Apr 09 14:33:22 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7d6dde18-136a-11db-a208-000df01dd67b} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Mon Apr 09 16:07:23 2007 => Gefundene Viren: 16
Mon Apr 09 16:07:23 2007 => Anzahl Fehler: 189
Mon Apr 09 16:07:23 2007 => Dauer des Scans bisher: 01:35:42
Mon Apr 09 16:07:23 2007 => Gescannte Dateien: 182298
Mon Apr 09 14:31:41 2007 => Specherüberprüfung: Aktiviert
Mon Apr 09 14:31:41 2007 => Registry Überprüfung: Aktiviert
Mon Apr 09 14:31:41 2007 => System-Ordner Überprüfung: Deaktiviert
Mon Apr 09 14:31:41 2007 => Überprüfung der Systembereiche: Deaktiviert
Mon Apr 09 14:31:41 2007 => Überprüfung der Dienste: Aktiviert
Mon Apr 09 14:31:41 2007 => Überprüfung der Festplatten: Deaktiviert
Mon Apr 09 14:31:41 2007 => Überprüfung aller Festplatten :Aktiviert
Ist mein System jetzt wieder frei von Schädlingen?

Das obengenannte Problem, dass ich eine Taste drücken muss, damit Windows weiter macht mit booten, tritt leider immer noch auf.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131