Trojan.Dmservinf.A (Win32/Patched.BU) - Bekämpfen!?
 

Hallo,

mein NOD32 bringt mir nach dem heutigen Update folgende Fehlermeldung:

c:\windows\system32\dmserver.dll - Win32/Patched.BU Virus - Säubern nicht möglich

Bei virustotal habe ich die Datei analysieren lassen und komme meistens auf folgende Bezeichnung:

Trojan.Dmservinf.A

Damit ihr euch einen besseren Überblick verschaffen könnt, hier ein Log File:

Besteht noch eine Möglichkeit oder muss ich das System neu aufsetzen?

Hallöle.

Poste bitte das komplette VT Ergebnis. Poste generell alle logs!
http://www.trojaner-board.de/extra/impressum.html#NUB

Virustotal:

Datei dmserver.dll empfangen 2008.11.10 00:01:12 (CET)

Antivirus	Version	letzte aktualisierung	Ergebnis
AhnLab-V3	2008.11.7.1	2008.11.09	-
AntiVir	7.9.0.26	2008.11.07	TR/Patched.BU.10
Authentium	5.1.0.4	2008.11.09	-
Avast	4.8.1248.0	2008.11.08	-
AVG	8.0.0.161	2008.11.09	Win32/Patched.T
BitDefender	7.2	2008.11.09	Trojan.Dmservinf.A
CAT-QuickHeal	9.50	2008.11.08	-
ClamAV	0.94.1	2008.11.09	-
DrWeb	4.44.0.09170	2008.11.09	-
eSafe	7.0.17.0	2008.11.09	-
eTrust-Vet	31.6.6199	2008.11.08	-
Ewido	4.0	2008.11.09	-
F-Prot	4.4.4.56	2008.11.09	W32/Patched.F.gen!Eldorado
F-Secure	8.0.14332.0	2008.11.09	-
Fortinet	3.117.0.0	2008.11.09	-
GData	19	2008.11.09	Trojan.Dmservinf.A
Ikarus	T3.1.1.45.0	2008.11.09	Trojan.Dmservinf.A
K7AntiVirus	7.10.520	2008.11.08	-
Kaspersky	7.0.0.125	2008.11.09	-
McAfee	5428	2008.11.08	-
Microsoft	1.4104	2008.11.09	-
NOD32	3597	2008.11.08	Win32/Patched.BU
Norman	5.80.02	2008.11.07	-
Panda	9.0.0.4	2008.11.09	-
PCTools	4.4.2.0	2008.11.09	-
Prevx1	V2	2008.11.10	-
Rising	21.02.62.00	2008.11.09	Trojan.Win32.Loader.p
SecureWeb-Gateway	6.7.6	2008.11.09	Trojan.Patched.BU.10
Sophos	4.35.0	2008.11.09	-
Sunbelt	3.1.1785.2	2008.11.08	-
Symantec	10	2008.11.09	-
TheHacker	6.3.1.1.146	2008.11.08	-
TrendMicro	8.700.0.1004	2008.11.07	-
VBA32	3.12.8.9	2008.11.09	-
ViRobot	2008.11.7.1457	2008.11.07	-
VirusBuster	4.5.11.0	2008.11.09

weitere Informationen
File size: 24064 bytes
MD5...: 17e6ff0d3234fa14849a0fbc9c9f69b8
SHA1..: 0893ae820b93105a4351b9d805b06263433291e3
SHA256: 265d629e6a309ee0daae6e454cce3791a48cce121848431954b65856d5ef3e9f
SHA512: 32195fa0c67c05592c7bc41582add3664c80dab124490423573716c19b9d7bf0
ce87a3935e57bf694700a8a878977adeebd7c7197cd9ce716e2fcdd226d8de50
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x74f11121
timedatestamp.....: 0x4802bf96 (Mon Apr 14 02:21:10 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3d35 0x3e00 6.31 88de1549df2848f2ff4f2d7fbe911d17
.data 0x5000 0x40 0x200 0.12 f6a079134b151e22b7945e3c260d0325
.rsrc 0x6000 0x1550 0x1600 3.62 d4f11b3a525b91ecf87cbc1ee797a6ee
.reloc 0x8000 0x2f8 0x400 5.54 4770f0339519d306c452c7e10af0b424

( 7 imports )
> ADVAPI32.dll: StartServiceW, SetServiceStatus, ReportEventW, RegCloseKey, OpenSCManagerW, OpenServiceW, CloseServiceHandle, QueryServiceStatus, DeregisterEventSource, RegSetValueExW, RegisterEventSourceW, RegisterServiceCtrlHandlerExW, RegOpenKeyExW, RegQueryValueExW
> KERNEL32.dll: SetUnhandledExceptionFilter, CloseHandle, CreateFileW, SetErrorMode, GetLastError, VerifyVersionInfoW, SetLastError, SetEvent, UnregisterWait, RegisterWaitForSingleObject, WaitForSingleObject, CreateEventW, OutputDebugStringW, DisableThreadLibraryCalls, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess
> msvcrt.dll: wcscmp, _except_handler3, wcslen, malloc, __3@YAXPAX@Z, vsprintf, free, __2@YAPAXI@Z, wcscpy
> ntdll.dll: NtDeviceIoControlFile, NtOpenFile, RtlInitUnicodeString, DbgPrintEx, NtOpenEvent, NtClose, VerSetConditionMask
> RPCRT4.dll: NdrClientCall2, RpcBindingFromStringBindingW, RpcStringBindingComposeW, RpcBindingFree, RpcStringFreeW
> SETUPAPI.dll: SetupDiEnumDeviceInterfaces, SetupDiGetDeviceInterfaceDetailW, SetupDiGetClassDevsW, SetupDiDestroyDeviceInfoList
> USER32.dll: UnregisterDeviceNotification, RegisterDeviceNotificationW, wsprintfW

( 1 exports )
ServiceMain

Gut. Weiter geht's:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Scanne den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs. Poste auch ein frisches HJT log.

Also, Avenger habe ich gemacht:

avenger.txtCCleaner, auch ... Danach dann ComboFix wie beschrieben:

Hier das log File:

Und SuperAntiSpyware läuft gerade ...

So SuperAntiSpyware ist fertig:

AntiMalware läuft jetzt ...

Anti-Malware findet auch nichts:

Und hier der neue HJT Log:

Scheint alles sauber zu sein, oder? Ich lasse jetzt noch mal mein NOD32 drüber laufen.

Sieht alles wieder sauber aus..