Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows Security Alerts - Virus (https://www.trojaner-board.de/81313-windows-security-alerts-virus.html)

Nightdream 05.01.2010 23:36

Windows Security Alerts - Virus
 
Guten Abend und Hallo alle zusammen,

dummerweise habe ich mir heute einen Virus eingefangen - einen, der mir das Programm "Windows Security Alerts" auf den Rechner gepackt hat und mich jetzt mit aufgehenden Fenstern zum Kauf dieses vermeintlich tollen Programmes überreden möchte und mir angebliche Viren meldet.
Ich habe mir schon einige Anti-Maleware-Programme heruntergeladen, jedoch funktioniert keines von ihnen, ebensowenig wie mein Antivirus-Programm.
Nach einigem Suchen und Lesen bin ich schließlich hier gelandet und habe mir einen HiJackThis Log erstellen lassen, den ich jetzt hier Posten werde, in der Hoffnung, dass mir jemand helfen kann - ich kenne mich nämlich kaum mit Computern und speziell mit Viren aus.
Wäre echt klasse, wenn mir jemand helfen könnte :)

Viele Grüße,

Nightdream

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:09, on 05.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
D:\apdproxy.exe
D:\bin\jusched.exe
D:\pdf24\PDFBackend.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
D:\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
C:\Programme\Malware Defense\mdefense.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Programme\ZyXEL\ZyAIR G-200\WLUSBCfg.exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\PhotoshopElementsFileAgent.exe
D:\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\WINDOWS\system32\WTablet\Wacom_TabletUser.exe
C:\WINDOWS\system32\Wacom_Tablet.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
D:\Programme\Adobe\Reader\AcroRd32.exe
D:\bin\jucheck.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XWMKBXJY\mbam-setup[1].exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\is-4GTP3.tmp\mbam-setup[1].tmp
D:\Malwarebytes' Anti-Malware\mbam.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neopets.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {CD292324-974F-4224-D074-CACA427AA030} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {CD292324-974F-4224-D074-CACA427AA030} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\bin\jusched.exe"
O4 - HKLM\..\Run: [PDFPrint] "D:\pdf24\PDFBackend.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: McAfee Security Scan.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office10\OSA.EXE
O4 - Global Startup: ZyAIR G-200 Wireless LAN Utility.lnk = C:\Programme\ZyXEL\ZyAIR G-200\WLUSBCfg.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1220283434
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/phot...che=1215377312
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O19 - User stylesheet: (file missing)
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - D:\PhotoshopElementsFileAgent.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir Desktop\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TabletServiceWacom - Wacom Technology, Corp. - C:\WINDOWS\system32\Wacom_Tablet.exe

--
End of file - 10053 bytes

Chris4You 05.01.2010 23:41

Hi,

poste noch ein Gmer-Log...

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte gmer und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris
Für mich:
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
C:\Programme\Malware Defense\mdefense.exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe
+ TDSS?

Nightdream 06.01.2010 01:33

Okay, hat etwas gedauert, aber das ist dabei rausgekommen - hoffe, das stimmt so. Und danke schonmal für die schnelle Hilfe!

Nightdream

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-06 01:22:44
Windows 5.1.2600 Service Pack 3
Running: pg02nu1p.exe; Driver: C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\uwrdapow.sys


---- System - GMER 1.0.15 ----

Code 86388AD8 ZwEnumerateKey
Code 8651AD90 ZwFlushInstructionCache
Code 8637B25E IofCallDriver
Code 866AB96E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EE130 5 Bytes JMP 8637B263
.text ntkrnlpa.exe!IofCompleteRequest 804EE1C0 5 Bytes JMP 866AB973
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805ABEC6 5 Bytes JMP 8651AD94
PAGE ntkrnlpa.exe!ZwEnumerateKey 8061AB72 5 Bytes JMP 86388ADC
.text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6F83380, 0x21F24D, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!??2@YAPAXI@Z 77BF9CC5 5 Bytes JMP 0A93B250 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!??3@YAXPAX@Z 77BF9CDD 5 Bytes JMP 0A93B2A0 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!?set_new_handler@@YAP6AXXZP6AXXZ@Z 77BF9D9F 5 Bytes JMP 0A93B2C0 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_expand 77BF9FE5 5 Bytes JMP 0A93B230 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapadd 77BFBC9F 5 Bytes JMP 0A93B310 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapchk 77BFBCB3 5 Bytes JMP 0A93B320 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapset + 1 77BFBD83 4 Bytes JMP 0A93B351 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapmin 77BFBD8C 5 Bytes JMP 0A93B420 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapused 77BFBE3A 5 Bytes JMP 0A93B3F0 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_heapwalk 77BFBE4D 5 Bytes JMP 0A93B360 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!_msize 77BFBF6C 5 Bytes JMP 0A93B180 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!calloc 77BFC0C3 5 Bytes JMP 0A93B110 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!free 77BFC21B 5 Bytes JMP 0A93B170 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!malloc 77BFC407 5 Bytes JMP 0A93B0D0 C:\WINDOWS\system32\SH33W32.dll
.text C:\Corel\Graphics8\Programs\MFIndexer.exe[1944] msvcrt.dll!realloc 77BFC437 5 Bytes JMP 0A93B150 C:\WINDOWS\system32\SH33W32.dll
.text D:\a-squared Anti-Malware\a2service.exe[2476] kernel32.dll!CreateThread + 1A 7C8106F1 4 Bytes CALL 0045495D D:\a-squared Anti-Malware\a2service.exe (a-squared Service/Emsi Software GmbH)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTmomyjjagvy.sys (*** hidden *** ) F582D000-F584A000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [696] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1220] 0x00C10000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1364] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1404] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1460] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1536] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2444] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2860] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys
<-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTumphrudvyo.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTuwgftjdxsf.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTebycbkypoc.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTumphrudvyo.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTuwgftjdxsf.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTmudnhmtqul.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTebycbkypoc.dll

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Jana Henck\Lokale Einstellungen\Temp\H8SRTbd32.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Jana Henck\Lokale Einstellungen\Temp\h8srtmainqt.dll 16474 bytes
File C:\WINDOWS\Temp\H8SRTd5aa.tmp 175 bytes
File C:\WINDOWS\system32\H8SRTebycbkypoc.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTmudnhmtqul.dll 36864 bytes executable
File C:\WINDOWS\system32\H8SRTumphrudvyo.dll 23552 bytes executable
File C:\WINDOWS\system32\H8SRTuwgftjdxsf.dat 246 bytes
File C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys 40448 bytes executable <-- ROOTKIT !!!

---- EOF - GMER 1.0.15 ----

Chris4You 06.01.2010 07:54

Hi,

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:

Drivers to delete:
H8SRTd.sys
 
Files to delete:
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
C:\Programme\Malware Defense\mdefense.exe
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe

Folders to delete:
C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp
C:\Programme\Malware Defense

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:

O4 - HKCU\..\Run: [settdebugx.exe] C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe
O4 - HKCU\..\Run: [Malware Defense] "C:\Programme\Malware Defense\mdefense.exe" -noscan

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

Chris

Nightdream 06.01.2010 13:57

Hey, wow, der Virus scheint weg zu sein - vielen, vielen Dank!
Ist wirklich klasse, dass es hier Leute gibt, die sich einfach so die Zeit nehmen, Personen wie mir zu helfen :)
Habe jetzt den Log vom Avenger und werde gleich auch noch den anderen Editieren, nachdem mein PC dann neugestartet ist.

Nightdream

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "H8SRTd.sys" found!
ImagePath: \systemroot\system32\drivers\H8SRTmomyjjagvy.sys
Start Type: 4 (Disabled)

Rootkit scan completed.

Driver "H8SRTd.sys" deleted successfully.
File "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\settdebugx.exe" deleted successfully.
File "C:\Programme\Malware Defense\mdefense.exe" deleted successfully.
File "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp\wscsvc32.exe" deleted successfully.
Folder "C:\DOKUME~1\JANAHE~1\LOKALE~1\Temp" deleted successfully.
Folder "C:\Programme\Malware Defense" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Nightdream 06.01.2010 15:45

So, habe jetzt auch nochmal MAM durchlaufen lassen und damit alles gelöscht, was noch gefunden wurde. Von dem Virus scheint alles weg zu sein.
Mein Virenprogramm läuft auch wieder - ich war noch nie so froh, es zu sehen.
Danke nochmal :D

Nightdream



Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3499
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

06.01.2010 15:35:52
mbam-log-2010-01-06 (15-35-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 235445
Laufzeit: 1 hour(s), 22 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{deceaaa2-370a-49bb-9362-68c3a58ddc62} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Avenger\mdefense.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\H8SRTmomyjjagvy.sys (Malware.Packer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Startmenü\Programme\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Desktop\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Desktop\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTebycbkypoc.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTmudnhmtqul.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTumphrudvyo.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\H8SRTuwgftjdxsf.dat (Rootkit.TDSS) -> Quarantined and deleted successfully.

Chris4You 06.01.2010 16:34

Hi,

lasse bitte noch Avira laufen:
Stelle Avira wie folgt ein: http://www.trojaner-board.de/54192-anleitung-avira-antivir-agressive-einstellungen.html
Führe einen Systemscan durch und poste das Ergebnis!

chris

Nightdream 06.01.2010 19:07

Danke für den Hinweis!
Avira hat noch mal fünf Sachen gefunden, die es dann auch beseitigt hat.
Hoffe, mein PC ist jetzt wieder komplett virenfrei und bleit auch erstmal so =)

Nightdream

[...]
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Computer-System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Programme\VideoLAN\VLC\vlc-0.9.4-win32.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/liblogger_plugin.dll
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158849.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158850.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158858.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158859.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158860.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
Beginne mit der Suche in 'D:\' <Daten-Programme>
D:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'E:\' <Eigenes>
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158849.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b75cc73.qua' verschoben!
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158850.sys
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0c9eb4.qua' verschoben!
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158858.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a0bb5dc.qua' verschoben!
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158859.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a1868dc.qua' verschoben!
C:\System Volume Information\_restore{D7EA6ABA-5BB5-45C7-AF78-17C186EE518C}\RP945\A0158860.dll
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a09a66c.qua' verschoben!


Ende des Suchlaufs: Mittwoch, 6. Januar 2010 18:45
Benötigte Zeit: 54:41 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

12097 Verzeichnisse wurden überprüft
377231 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
5 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
377223 Dateien ohne Befall
3045 Archive wurden durchsucht
5 Warnungen
8 Hinweise
56955 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Chris4You 06.01.2010 19:59

Hi,

zur Sicherheit:

Systemwiederherstellung löschen
BSI-Faltblattt (https://www.bsi.bund.de/cln_134/ContentBSI/Publikationen/Faltblaetter/F24VirenundCo.html) und dort unter Viren entfernen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19