Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Ständige Werbepopups ohne das der Browser offen ist?! (https://www.trojaner-board.de/68645-staendige-werbepopups-ohne-browser-offen.html)

Angelwhite 15.01.2009 17:30
Ständige Werbepopups ohne das der Browser offen ist?!
 
Hallo, ich habe seit ein paar Tagen das problem das ich ständige Popup's bekomme. Ich hatte versucht mit Ad-Aware bei zu gehen doch leider bekomme ich von dort nur eine Crash-File ausgespuckt. Welche mir also auch nicht weiter hilft. Jegliche Programme die ich versucht habe, haben nichts gebracht.
Spyware Doctor findet ihn auch, löscht ihn angeblich auch aber nach ein paar stunden ist er wieder da.
Hier vorweg einmal der HJT-Log.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:13, on 15.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\csrss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS.0\system32\spoolsv.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Spyware Doctor\pctsAuxs.exe
D:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS.0\system32\svchost.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\WINDOWS.0\System32\alg.exe
C:\WINDOWS.0\System32\svchost.exe
D:\Programme\Spyware Doctor\pctsGui.exe
E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\Programme\T4E\Player\T4E_Player.exe
C:\WINDOWS.0\system32\taskmgr.exe
C:\WINDOWS.0\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.toggo.de/toggo.php?url=index.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {bda43be2-0eeb-4990-85fd-9e6704444a5d} - C:\WINDOWS.0\system32\hepozili.dll (file missing)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS.0\system32\oodtray.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [yumukaboda] Rundll32.exe "C:\WINDOWS.0\system32\pinafadi.dll",s
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CPMab4f3aec] Rundll32.exe "c:\windows.0\system32\hesudipi.dll",a
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized (User 'Default user')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\furujeze.dll xyhcrd.dll c:\windows.0\system32\hesudipi.dll
O20 - Winlogon Notify: cfefaefcbfceca - C:\WINDOWS.0\system32\cfefaefcbfceca.dll (file missing)
O20 - Winlogon Notify: gebqnfdv - geBqNfDv.dll (file missing)
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\hesudipi.dll
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS.0\system32\rwhbfb873unjdfdg.dll (file missing)
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\hesudipi.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Unknown owner - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Programme\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Unknown owner - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.0\system32\oodag.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe

Ich hoffe ihr könnt mir nun weiter helfen.

Liebe Grüße und schonmal ein danke =)

john.doe 15.01.2009 17:44
Hallo Angelwhite und :hallo:

Arbeite diese Liste ab:

1.) Deinstalliere folgende Programme (Start=>Systemsteuerung=>Programme):
Code:
AdAware (Schrott)
Java (veraltet)
Spyware Doctor (Schrott)
2.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS.0\system32\pinafadi.dll
c:\windows.0\system32\hesudipi.dll
C:\WINDOWS.0\system32\furujeze.dll
c:\windows.0\system32\xyhcrd.dll
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte sich eine Datei nicht finden lassen, so mache weiter mit der Liste.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
HTML-Code:
[code] Hier das Logfile rein! [/code]
3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

6.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

Angelwhite 15.01.2009 18:16
Code:
Datei pinafadi.dll empfangen 2009.01.15 17:54:45 (CET)

       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.73        2009.01.15        -
AhnLab-V3        2009.1.15.0        2009.01.15        -
AntiVir        7.9.0.54        2009.01.15        -
Authentium        5.1.0.4        2009.01.15        -
Avast        4.8.1281.0        2009.01.15        -
AVG        8.0.0.229        2009.01.15        -
BitDefender        7.2        2009.01.15        -
CAT-QuickHeal        10.00        2009.01.15        -
ClamAV        0.94.1        2009.01.15        -
Comodo        932        2009.01.15        -
DrWeb        4.44.0.09170        2009.01.15        -
eSafe        7.0.17.0        2009.01.15        Suspicious File
eTrust-Vet        31.6.6309        2009.01.15        -
F-Prot        4.4.4.56        2009.01.15        -
F-Secure        8.0.14470.0        2009.01.15        -
Fortinet        3.117.0.0        2009.01.15        -
GData        19        2009.01.15        -
Ikarus        T3.1.1.45.0        2009.01.15        -
K7AntiVirus        7.10.584        2009.01.09        -
Kaspersky        7.0.0.125        2009.01.15        -
McAfee        5495        2009.01.14        -
McAfee+Artemis        5495        2009.01.14        -
Microsoft        1.4205        2009.01.15        -
NOD32        3769        2009.01.15        -
Norman        5.93.01        2009.01.15        W32/Virtumonde.AKDW
nProtect        2009.1.8.0        2009.01.15        -
Panda        9.5.1.2        2009.01.14        -
PCTools        4.4.2.0        2009.01.15        -
Prevx1        V2        2009.01.15        -
Rising        21.12.32.00        2009.01.15        Trojan.Win32.Nodef.uu
SecureWeb-Gateway        6.7.6        2009.01.15        -
Sophos        4.37.0        2009.01.15        -
Sunbelt        3.2.1831.2        2009.01.09        Virtumonde
Symantec        10        2009.01.15        Trojan.Vundo
TheHacker        6.3.1.4.220        2009.01.14        -
TrendMicro        8.700.0.1004        2009.01.15        -
VBA32        3.12.8.10        2009.01.14        -
ViRobot        2009.1.15.1560        2009.01.15        -
VirusBuster        4.5.11.0        2009.01.15        -
weitere Informationen
File size: 63296 bytes
MD5...: 8448fcb1bf3d8e36478cb130d80a2770
SHA1..: ec3a74982373a0a3068cfa880ad716824c0ecc62
SHA256: bd928b55321f576d115b81221062f6ecae259d0034b0bc9bf63237113b3def3a
SHA512: 17af1ec676b70929b3d423adce6855a9e29f79d02b7ab123091e75cfe5fdb053
0baf5379c49dccbe671719a5a19b7fa612d5bf167b967fe12aff8e7e77d681e7
ssdeep: 1536:tgsoTPGVZkdRU4XX3BzRixuuG26Gq2KSczky9jU:t8GVZ8RbXXRNixuuBq2
Kxky9jU
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100012b8
timedatestamp.....: 0x3ef274dc (Fri Jun 20 02:43:40 2003)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4357 0x4400 7.78 073f37949280b37836693c8f3e9e2c86
.data 0x6000 0x569b 0x5800 7.84 ef79d8e5b4ee44f141e49cd644c9cc15
.dataa 0xc000 0x3f2c 0x3c00 7.93 af2109ea38f1c45dd8c4db547b1bddd4
.rsrc 0x10000 0x1400 0x1400 3.70 ae0e37c71a396ab9cb3c5982d1531d5c
.reloc 0x12000 0xb32a 0x600 0.99 42f6aae14f296518cc8e18e1fbcb06af

( 2 imports )
> kernel32.dll: CreateFileA, FileTimeToSystemTime, GlobalDeleteAtom, HeapAlloc, HeapCreate, RaiseException, SetErrorMode, SetEvent, SetLocalTime, UpdateResourceA, VirtualAlloc, VirtualFree, lstrlenA
> user32.dll: AdjustWindowRectEx, CallNextHookEx, EndPaint, GetDesktopWindow, GetNextDlgTabItem, GetSysColor, IsDialogMessageA, IsWindow, ModifyMenuA, ReleaseCapture, ReleaseDC, TabbedTextOutA
Code:
Datei hesudipi.dll empfangen 2009.01.15 18:01:53 (CET)

       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.73        2009.01.15        -
AhnLab-V3        2009.1.15.0        2009.01.15        -
AntiVir        7.9.0.54        2009.01.15        -
Authentium        5.1.0.4        2009.01.15        -
Avast        4.8.1281.0        2009.01.15        -
AVG        8.0.0.229        2009.01.15        -
BitDefender        7.2        2009.01.15        -
CAT-QuickHeal        10.00        2009.01.15        -
ClamAV        0.94.1        2009.01.15        -
Comodo        932        2009.01.15        -
DrWeb        4.44.0.09170        2009.01.15        Trojan.Virtumod.1615
eSafe        7.0.17.0        2009.01.15        -
eTrust-Vet        31.6.6309        2009.01.15        -
F-Prot        4.4.4.56        2009.01.15        -
F-Secure        8.0.14470.0        2009.01.15        -
Fortinet        3.117.0.0        2009.01.15        -
GData        19        2009.01.15        -
Ikarus        T3.1.1.45.0        2009.01.15        -
K7AntiVirus        7.10.584        2009.01.09        -
Kaspersky        7.0.0.125        2009.01.15        -
McAfee        5495        2009.01.14        -
McAfee+Artemis        5495        2009.01.14        -
Microsoft        1.4205        2009.01.15        Trojan:Win32/Vundo.gen!G
NOD32        3769        2009.01.15        -
Norman        5.93.01        2009.01.15        -
nProtect        2009.1.8.0        2009.01.15        -
Panda        9.5.1.2        2009.01.14        -
PCTools        4.4.2.0        2009.01.15        -
Prevx1        V2        2009.01.15        Malicious Software
Rising        21.12.32.00        2009.01.15        -
SecureWeb-Gateway        6.7.6        2009.01.15        -
Sophos        4.37.0        2009.01.15        -
Sunbelt        3.2.1831.2        2009.01.09        Virtumonde
TheHacker        6.3.1.4.220        2009.01.14        -
TrendMicro        8.700.0.1004        2009.01.15        -
VBA32        3.12.8.10        2009.01.14        -
ViRobot        2009.1.15.1560        2009.01.15        -
VirusBuster        4.5.11.0        2009.01.15        -
weitere Informationen
File size: 127861 bytes
MD5...: f0343085c1527ac9978f0439fcc36a07
SHA1..: cae85805e924c09c5d59b9445243f043fe0dc98a
SHA256: 948db42d142bbbab8d2aa99c95a02f8301d80b2b1a00e142e0d7b240c86fda6a
SHA512: aa991ede77f6d3db5237f56d15c6fbe624bab1868ef97ef8e3ec859927b59076
1ac25e7eebbd1393c2fac0c70961321ae9859c235c16acafb377d67e7b242916
ssdeep: 3072:94BoL2Og3LGSgThLnetSDeTBfoDXViPMQO2J2e:94B6wL9gnFeTBgLka2J2
e
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10010f28
timedatestamp.....: 0x496b42cc (Mon Jan 12 13:17:00 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13518 0x13600 6.58 ceda391468f77a9e4cc5db566990ace1
.rdata 0x15000 0x84f5 0x8600 6.07 ebb245b25eb5c40b68092357bbd838ac
.data 0x1e000 0x19fc 0xa00 5.54 89a80667132452ed72b553a21dba7358
.rsrc 0x20000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.reloc 0x21000 0x259a 0x2600 4.75 b8d2c1f235e69509fb92e12fdab22bea

( 6 imports )
> msvcrt.dll: malloc, iswdigit, wcsncmp, _wcsnicmp, isdigit, strtol, wcstol, memcmp, _time64, atoi, isspace, atol, atof, strtoul, strncmp, _itoa, wcstombs, calloc, rand, srand, _unlock, __dllonexit, _lock, _onexit, __1type_info@@UAE@XZ, realloc, _XcptFilter, _initterm, _amsg_exit, _adjust_fdiv, free, _strnicmp, mbstowcs, strstr, strncpy, _wcsicmp, _purecall, __2@YAPAXI@Z, memcpy, ___U@YAPAXI@Z, memmove, ___V@YAXPAX@Z, strlen, wcslen, memset, __3@YAXPAX@Z, wcschr, _vsnwprintf, _wcslwr, _strlwr, _errno, _CxxThrowException, _except_handler3
> KERNEL32.dll: FreeLibrary, GetCommandLineW, LoadLibraryA, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, GetTickCount, QueryPerformanceCounter, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, InterlockedCompareExchange, InterlockedExchange, RtlUnwind, OutputDebugStringA, OpenFileMappingW, LocalAlloc, GetCurrentThreadId, SetLastError, FlushInstructionCache, CreateFileMappingW, UnmapViewOfFile, MapViewOfFile, TerminateThread, GetShortPathNameW, GetLocaleInfoW, GetUserDefaultLCID, ResetEvent, CreateEventW, LeaveCriticalSection, GetVersionExW, EnterCriticalSection, GetSystemTimeAsFileTime, WideCharToMultiByte, InitializeCriticalSection, DeleteCriticalSection, lstrlenA, WaitForMultipleObjects, lstrcmpiW, LocalFree, lstrcpyW, ReleaseMutex, GetThreadPriority, HeapAlloc, HeapFree, GetProcessHeap, VirtualProtect, VirtualAlloc, GetProcAddress, GetModuleHandleW, GetVolumeInformationW, CreateFileW, CloseHandle, RaiseException, GetWindowsDirectoryW, OpenEventW, MoveFileExW, SetEvent, Sleep, lstrlenW, OpenProcess, VirtualFreeEx, lstrcmpiA, VirtualAllocEx, Process32FirstW, Process32NextW, CreateToolhelp32Snapshot, WriteProcessMemory, GetCurrentProcess, WaitForSingleObject, CreateRemoteThread, LoadLibraryW, DisableThreadLibraryCalls, lstrcpynW, lstrcatW, CreateThread, SetFilePointer, InterlockedIncrement, GetCurrentThread, GetCurrentProcessId, ExitProcess, InterlockedDecrement, CreateProcessW, CreateMutexW, FreeLibraryAndExitThread, GetLastError, ReadFile, SetThreadPriority, GetModuleFileNameW
> USER32.dll: IsWindow, SetWindowTextW, GetDesktopWindow, SetWindowPos, GetWindowRect, SendMessageW, DestroyIcon, GetWindowThreadProcessId, SetWindowsHookExW, CallNextHookEx, UnhookWindowsHookEx, PostMessageW, wsprintfW
> ADVAPI32.dll: ConvertStringSidToSidW, AllocateAndInitializeSid, RegCreateKeyExW, SetTokenInformation, GetLengthSid, GetSidSubAuthority, GetSidSubAuthorityCount, SetThreadToken, GetTokenInformation, SetSecurityInfo, GetSecurityDescriptorSacl, ConvertStringSecurityDescriptorToSecurityDescriptorW, RegSetKeySecurity, SetSecurityDescriptorDacl, SetEntriesInAclW, InitializeSecurityDescriptor, RegCreateKeyW, RegOpenKeyExW, CreateProcessAsUserW, GetUserNameA, DuplicateTokenEx, OpenProcessToken, AdjustTokenPrivileges, LookupPrivilegeValueW, FreeSid, RegSetValueExW, RegCloseKey, RegOpenKeyW, RegEnumKeyExW, CheckTokenMembership, RegFlushKey, RegQueryValueExW, RegDeleteValueW, RegDeleteKeyW
> ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize, CoInitializeEx
> OLEAUT32.dll: -, -, -, -, -

( 3 exports )
E0D197A2_D21D_4d5c_AA5C_0CA8E3507931, a, s
Code:
Datei furujeze.dll empfangen 2009.01.15 18:10:30 (CET)

Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.0.0.73        2009.01.15        -
AhnLab-V3        2009.1.15.0        2009.01.15        -
AntiVir        7.9.0.54        2009.01.15        -
Authentium        5.1.0.4        2009.01.15        -
Avast        4.8.1281.0        2009.01.15        -
AVG        8.0.0.229        2009.01.15        -
BitDefender        7.2        2009.01.15        -
CAT-QuickHeal        10.00        2009.01.15        -
ClamAV        0.94.1        2009.01.15        -
Comodo        932        2009.01.15        -
DrWeb        4.44.0.09170        2009.01.15        -
eSafe        7.0.17.0        2009.01.15        Suspicious File
eTrust-Vet        31.6.6309        2009.01.15        -
F-Prot        4.4.4.56        2009.01.15        -
F-Secure        8.0.14470.0        2009.01.15        -
Fortinet        3.117.0.0        2009.01.15        -
GData        19        2009.01.15        -
Ikarus        T3.1.1.45.0        2009.01.15        -
K7AntiVirus        7.10.584        2009.01.09        -
Kaspersky        7.0.0.125        2009.01.15        -
McAfee        5495        2009.01.14        -
McAfee+Artemis        5495        2009.01.14        -
Microsoft        1.4205        2009.01.15        -
NOD32        3769        2009.01.15        -
Norman        5.93.01        2009.01.15        W32/Virtumonde.AKDW
nProtect        2009.1.8.0        2009.01.15        -
Panda        9.5.1.2        2009.01.14        -
PCTools        4.4.2.0        2009.01.15        -
Prevx1        V2        2009.01.15        Malicious Software
Rising        21.12.32.00        2009.01.15        Trojan.Win32.Nodef.uu
SecureWeb-Gateway        6.7.6        2009.01.15        -
Sophos        4.37.0        2009.01.15        -
Sunbelt        3.2.1831.2        2009.01.09        Virtumonde
Symantec        10        2009.01.15        Trojan.Vundo
TheHacker        6.3.1.4.220        2009.01.14        -
TrendMicro        8.700.0.1004        2009.01.15        -
VBA32        3.12.8.10        2009.01.14        -
ViRobot        2009.1.15.1560        2009.01.15        -
VirusBuster        4.5.11.0        2009.01.15        -
weitere Informationen
File size: 63296 bytes
MD5...: 8448fcb1bf3d8e36478cb130d80a2770
SHA1..: ec3a74982373a0a3068cfa880ad716824c0ecc62
SHA256: bd928b55321f576d115b81221062f6ecae259d0034b0bc9bf63237113b3def3a
SHA512: 17af1ec676b70929b3d423adce6855a9e29f79d02b7ab123091e75cfe5fdb053
0baf5379c49dccbe671719a5a19b7fa612d5bf167b967fe12aff8e7e77d681e7
ssdeep: 1536:tgsoTPGVZkdRU4XX3BzRixuuG26Gq2KSczky9jU:t8GVZ8RbXXRNixuuBq2
Kxky9jU
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100012b8
timedatestamp.....: 0x3ef274dc (Fri Jun 20 02:43:40 2003)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4357 0x4400 7.78 073f37949280b37836693c8f3e9e2c86
.data 0x6000 0x569b 0x5800 7.84 ef79d8e5b4ee44f141e49cd644c9cc15
.dataa 0xc000 0x3f2c 0x3c00 7.93 af2109ea38f1c45dd8c4db547b1bddd4
.rsrc 0x10000 0x1400 0x1400 3.70 ae0e37c71a396ab9cb3c5982d1531d5c
.reloc 0x12000 0xb32a 0x600 0.99 42f6aae14f296518cc8e18e1fbcb06af

( 2 imports )
> kernel32.dll: CreateFileA, FileTimeToSystemTime, GlobalDeleteAtom, HeapAlloc, HeapCreate, RaiseException, SetErrorMode, SetEvent, SetLocalTime, UpdateResourceA, VirtualAlloc, VirtualFree, lstrlenA
> user32.dll: AdjustWindowRectEx, CallNextHookEx, EndPaint, GetDesktopWindow, GetNextDlgTabItem, GetSysColor, IsDialogMessageA, IsWindow, ModifyMenuA, ReleaseCapture, ReleaseDC, TabbedTextOutA

( 0 exports )
Code:
0 bytes size received / Se ha recibido un archivo vacio
So das waren alle 4 datein wenn ich richtig gezählt habe

Edit: Malwarebite lässt sich nicht installieren
Blacklight findet auch nichts

Edit2: SuperAntispyware.com gibt beim starten folgenden Fehler raus: Unable to locate SuperAntiSpyware program files.

Da bekommt man ja graue haare bei :(

john.doe 15.01.2009 18:31
Zitat:
Malwarebite lässt sich nicht installieren
Schlecht. Kommt eine Fehlermeldung oder passiert einfach nichts? Falls eine Fehlermeldung kommt, dann bitte den genauen Text posten.
Zitat:
Blacklight findet auch nichts
Das ist gut.

GMER - Rootkit Detection
  • Lade Gmer von hier
  • entpacke es auf den Dektop
  • Doppelklick auf gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. www.file-upload.net hoch und poste den Link.
  • Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Angelwhite 15.01.2009 18:34
Zitat:
Zitat von john.doe (Beitrag 405978)
Schlecht. Kommt eine Fehlermeldung oder passiert einfach nichts? Falls eine Fehlermeldung kommt, dann bitte den genauen Text posten.
Da passiert garnichts, er wird zwar unter den Prozessen im Task-Manager gestartet aber sonst tut sich weiter nichts.

john.doe 15.01.2009 18:36
Mache mit Gmer weiter. Irgendetwas versteckt sich.

ciao, andreas

Angelwhite 15.01.2009 18:42
Desweiten habe ich die mal 2 screens gemacht also irgendwas will mich hier ärgen :(

http://www11.file-upload.net/thumb/15.01.09/p811e.JPG

http://www11.file-upload.net/thumb/15.01.09/coarkl.JPG

Das 2 ist mal wieder eine dieser Antivirus runterlade aktionen wo ich sowieso immer auf abbrechen klicke :)

john.doe 15.01.2009 18:45
Versuch mal Folgendes:

Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber

Dort alle Treiber, die mit ADS oder TDS beginnen (vermutlich ist es TDSSserv.sys) deaktivieren
=> Rechner neustarten

ciao, andreas

Angelwhite 15.01.2009 18:51
Also entweder ist mein Windows schrott oder ich kann nicht gucken aber keines von beiden vorhanden. Könnte es noch was anderes sein hier mal die Nicht PnP-Treiber.

http://www11.file-upload.net/thumb/15.01.09/msn2dq.JPG

john.doe 15.01.2009 18:57
Start => Einstellungen => Systemsteuerung => Benutzerkonten

Die Konten sind unten rechts. Was steht unter deinem Anmeldenamen?

ciao, andreas

Angelwhite 15.01.2009 18:58
Habe hier administrator Rechte deswegen wundert mich das ganze etwas

john.doe 15.01.2009 19:00
Benenne gmer.exe um in asdf.com und versuche es noch einmal.

ciao, andreas

Angelwhite 15.01.2009 19:13
Nach der umbenennung ging es hier der Log-File

Also da ich denke das die einträge alle nicht grade gutmütig sind muss ich doch ganz schön schlucken. Wo zum teufel kommt das her...?

Code:
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-15 19:12:43
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

Code            86C886E0                                                                                ZwEnumerateKey
Code            86C883C8                                                                                ZwFlushInstructionCache
Code            F59EF480                                                                                pIofCallDriver

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntoskrnl.exe!ZwEnumerateKey                                                              8056F76A 5 Bytes  JMP 86C886E4
PAGE            ntoskrnl.exe!ZwFlushInstructionCache                                                    805769AB 5 Bytes  JMP 86C883CC
?              ikfilesec.sys                                                                            Das System kann die angegebene Datei nicht finden. !
?              system32\drivers\iksysflt.sys                                                            Das System kann den angegebenen Pfad nicht finden. !
?              system32\drivers\KCOM.SYS                                                                Das System kann den angegebenen Pfad nicht finden. !
?              system32\drivers\iksyssec.sys                                                            Das System kann den angegebenen Pfad nicht finden. !
.text          tcpip.sys!IPTransmit + 10B7                                                              F5985CFA 6 Bytes  CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          tcpip.sys!IPTransmit + 24D9                                                              F598711C 6 Bytes  CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          tcpip.sys!IPTransmit + 4662                                                              F59892A5 6 Bytes  CALL F739B200 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
.text          wanarp.sys                                                                              F70083FD 7 Bytes  CALL F739B350 Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
?              C:\WINDOWS.0\System32\drivers\5fdded8.sys                                                Das System kann die angegebene Datei nicht finden. !
?              C:\WINDOWS.0\system32\Drivers\mchInjDrv.sys                                              Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text          C:\Dokumente und Einstellungen\Cloe\Desktop\asdf.com[168] kernel32.dll!FreeLibrary + 15  7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text          C:\WINDOWS.0\explorer.exe[336] kernel32.dll!FreeLibrary + 15                            7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text          C:\Programme\MSN Messenger\usnsvc.exe[640] kernel32.dll!FreeLibrary + 15                7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text          C:\Programme\DSL-Manager\DslMgrSvc.exe[1300] kernel32.dll!FreeLibrary + 15              7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text          C:\WINDOWS.0\System32\svchost.exe[1372] kernel32.dll!FreeLibrary + 15                    7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text          ...                                                                                     
.text          C:\Programme\MSN Messenger\msnmsgr.exe[2020] kernel32.dll!SetUnhandledExceptionFilter    7C810386 5 Bytes  JMP 004DE392 C:\Programme\MSN Messenger\msnmsgr.exe (Messenger/Microsoft Corporation)
.text          C:\WINDOWS.0\system32\mmc.exe[2100] kernel32.dll!FreeLibrary + 15                        7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text          C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] kernel32.dll!FreeLibrary + 15                    7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text          C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] kernel32.dll!ExitProcess                          7C81CAA2 5 Bytes  JMP 003A2629 c:\windows.0\system32\hesudipi.dll
.text          C:\PROGRA~1\MOZILL~1\FIREFOX.EXE[2480] WS2_32.dll!connect                                71A1406A 5 Bytes  JMP 003A2C54 c:\windows.0\system32\hesudipi.dll
.text          C:\WINDOWS.0\System32\alg.exe[2912] kernel32.dll!FreeLibrary + 15                        7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]
.text          C:\WINDOWS.0\system32\taskmgr.exe[3708] kernel32.dll!FreeLibrary + 15                    7C80AA7B 4 Bytes  [ BD, 55, EF, F4 ]

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                      [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                      [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                  [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                      [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                    [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]              [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                  [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                        [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                      [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                  [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                      [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                      [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                        [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                    [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                        [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                  [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                        [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                      [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                  [F739BB30] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                [F739BCB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                      [F739BDB0] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)
IAT            \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                      [F739BD50] Teefer.sys (Teefer Driver/Sygate Technologies, Inc.)

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                                                  5fdded8.sys

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                  aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                5fdded8.sys

Device          \Driver\aswTdi \Device\AswUdpFilter                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\aswTdi \Device\AswUdpFilter                                                      5fdded8.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                5fdded8.sys

Device          \Driver\aswTdi \Device\ASWTDI                                                            wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\aswTdi \Device\ASWTDI                                                            5fdded8.sys
Device          \Driver\aswTdi \Device\AswTcpFilter                                                      wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
Device          \Driver\aswTdi \Device\AswTcpFilter                                                      5fdded8.sys

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                5fdded8.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                              wpsdrvnt.sys (wpsdrvnt/Sygate Technologies, Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                              aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                              5fdded8.sys

---- Modules - GMER 1.0.14 ----

Module          \systemroot\system32\drivers\UACqqjkvdyu.sys (*** hidden *** )                          F59ED000-F5A01000 (81920 bytes)                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                 

---- Services - GMER 1.0.14 ----

Service        C:\WINDOWS.0\System32\drivers\5fdded8.sys (*** hidden *** )                              [SYSTEM] 5fdded8                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  <-- ROOTKIT !!!
Service        C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys (*** hidden *** )                          [SYSTEM] UACd.sys                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                <-- ROOTKIT !!!

---- Registry - GMER 1.0.14 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@ImagePath                                \SystemRoot\System32\drivers\5fdded8.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@Type                                      1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@Start                                    1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\5fdded8@ErrorControl                              1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys                                         
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start                                    1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type                                    1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath                                \systemroot\system32\drivers\UACqqjkvdyu.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group                                    file system
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules                                 
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd                            \\?\globalroot\systemroot\system32\drivers\UACqqjkvdyu.sys
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc                            \\?\globalroot\systemroot\system32\UACdupqoiyq.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr                            \\?\globalroot\systemroot\system32\UACxwbikmap.dat
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uaclog                          \\?\globalroot\systemroot\system32\UACxfaqgomy.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask                          \\?\globalroot\systemroot\system32\UACjryrrfvs.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr                          \\?\globalroot\systemroot\system32\UAClvucublh.dll
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACproc                          \\?\globalroot\systemroot\system32\UACwigitamp.log
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacurls                          \\?\globalroot\systemroot\system32\UACcyuekars.log
Reg            HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacerrors                        \\?\globalroot\systemroot\system32\UACwtmxelta.log
Reg            HKLM\SYSTEM\ControlSet004\Services\5fdded8@ImagePath                                    \SystemRoot\System32\drivers\5fdded8.sys
Reg            HKLM\SYSTEM\ControlSet004\Services\5fdded8@Type                                          1
Reg            HKLM\SYSTEM\ControlSet004\Services\5fdded8@Start                                        1
Reg            HKLM\SYSTEM\ControlSet004\Services\5fdded8@ErrorControl                                  1
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys                                             
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys@start                                        1
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys@type                                        1
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys@imagepath                                    \systemroot\system32\drivers\UACqqjkvdyu.sys
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys@group                                        file system
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules                                     
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACd                                \\?\globalroot\systemroot\system32\drivers\UACqqjkvdyu.sys
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACc                                \\?\globalroot\systemroot\system32\UACdupqoiyq.dll
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacsr                                \\?\globalroot\systemroot\system32\UACxwbikmap.dat
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uaclog                              \\?\globalroot\systemroot\system32\UACxfaqgomy.dll
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacmask                              \\?\globalroot\systemroot\system32\UACjryrrfvs.dll
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacbbr                              \\?\globalroot\systemroot\system32\UAClvucublh.dll
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@UACproc                              \\?\globalroot\systemroot\system32\UACwigitamp.log
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacurls                              \\?\globalroot\systemroot\system32\UACcyuekars.log
Reg            HKLM\SYSTEM\ControlSet004\Services\UACd.sys\modules@uacerrors                            \\?\globalroot\systemroot\system32\UACwtmxelta.log
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                                   
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION   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

---- EOF - GMER 1.0.14 ----
Hier dazu die Passende Meldung:
http://www11.file-upload.net/thumb/15.01.09/2igdli.JPG

john.doe 15.01.2009 19:30
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
Files to delete:
C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys
C:\WINDOWS.0\system32\drivers\UACd.sys
C:\WINDOWS.0\system32\UACdupqoiyq.dll
C:\WINDOWS.0\system32\UACxwbikmap.dat
C:\WINDOWS.0\system32\UACxfaqgomy.dll
C:\WINDOWS.0\system32\UACjryrrfvs.dll
C:\WINDOWS.0\system32\UAClvucublh.dll
C:\WINDOWS.0\system32\UACwigitamp.log
C:\WINDOWS.0\system32\UACcyuekars.log
C:\WINDOWS.0\system32\UACwtmxelta.log
http://saved.im/mzi3ndg3nta0/aven.jpg
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Angelwhite 15.01.2009 19:43
Code:
*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "UACd.sys" found!
ImagePath:  \systemroot\system32\drivers\UACqqjkvdyu.sys
Start Type:  1 (System)

Rootkit scan completed.

File "C:\WINDOWS.0\system32\drivers\UACqqjkvdyu.sys" deleted successfully.

Error:  file "C:\WINDOWS.0\system32\drivers\UACd.sys" not found!
Deletion of file "C:\WINDOWS.0\system32\drivers\UACd.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS.0\system32\UACdupqoiyq.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACxwbikmap.dat" deleted successfully.
File "C:\WINDOWS.0\system32\UACxfaqgomy.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACjryrrfvs.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UAClvucublh.dll" deleted successfully.
File "C:\WINDOWS.0\system32\UACwigitamp.log" deleted successfully.

Error:  file "C:\WINDOWS.0\system32\UACcyuekars.log" not found!
Deletion of file "C:\WINDOWS.0\system32\UACcyuekars.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS.0\system32\UACwtmxelta.log" not found!
Deletion of file "C:\WINDOWS.0\system32\UACwtmxelta.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
Hier der Log


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:36 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131