Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   hbuvjkdh? Was ist das? (https://www.trojaner-board.de/71492-hbuvjkdh.html)

Blackbird7 28.03.2009 21:23
hbuvjkdh? Was ist das?
 
Hallo,
ich habe in meinem Hijackthis-Log den Eintrag
Zitat:
O4 - HKCU\..\Run: [hbuvjkdh] "c:\users\*user*\appdata\local\hbuvjkdh.exe" hbuvjkdh
gefunden.
Laut Hijackthis-Logfile-Auswertung neutral. Google gibt keine Auskunft.
Weiß irgendjemand, was hbuvjkdh ist/macht?

mfg., Blackbird7

clipperd 28.03.2009 22:13
VORSICHT!!! DA RIECHE ICH EN VIRUS

manche viren kopieren sich mit einem zufälligen code aus buchstaben als Namen! Das ist des höchstwarscheinlich! Bitte datei auf virusland hochladen und Ergebnis hier posten, auch wenn nix gefunden wird

Das war mal nen unterschlupf von nem Virus:

c:/dokumente und einstellungen/(Kontoname)/Lokale Einstellungen/Anwendungsdateien/egeogqm.exe

Blackbird7 30.03.2009 12:24
Naja, da gibts ein kleines Problemchen:
Es ist SEHR wahrscheinlich, dass das ein Virus war, da die Datei an dem angegebenen Pfad gar nicht existiert, sondern nur "hbuvjkdh.bat", "hbuvjkdh.dat" und "hbuvjkdh_navps.dat". Wobei in der "hbuvjkdh.bat" folgendes steht:
Zitat:
@echo Uninstalling the software...
@"c:\users\*user*\appdata\local\hbuvjkdh.exe" -uninstall
:uglyhammer:

Nebenbei: Ich habe da noch die Dateien "d3d9caps.dat", "DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini" (unleserlich) und "GDIPFONTCACHEV1.DAT". (Alles kein Autostart!)
Weiß einer, was das jetzt nu wieder sein soll?

Danke schonmal an clipperd,
Blackbird7

Angel21 30.03.2009 15:42
Lade doch alles bei Virustotal.com hoch, so genau kann man das nicht sagen, ob da hinter wirklich was war, Virustotal gibt bessere Auskunft.


Wenn nicht lass Malwarebytes durchlaufen.

Blackbird7 02.04.2009 09:37
Nein, diese Dateien an sich sind ja kein Virus. Da meldet weder einer meiner Virenscanner noch Virustotal.com oder der Kaspersky-Online-Check was.
Ich schätze, da sitzt irgendwo der Rootkit.
Der Spaß geht übrigens noch weiter: Die Dateien C:/Users/*Admin*/AppData/Local/Temp "HCQISR.exe" und "JPESVXLNZSBQ.exe" verhindern das Starten von z.B. Rootkit Revealer. Wenn ich das starten eines Rootkit-Jägers dann erzwinge, werde ich abgemeldet. :headbang:
Ich werd mal versuchen eine Boot-CD durchlaufen zu lassen.

Angel21 02.04.2009 09:40
Dann lade dir hier Gmer Rootkit Detection: GMER - Rootkit Detector and Remover - Files und Poste das Ergebnis von Gmer hier rein.

Lasse trotzdem bitte nochmal Malwarebytes durchlaufen.
Ebenso poste ein Hijackthis Logfile.

myrtille 02.04.2009 13:43
Zitat:
Zitat von Blackbird7 (Beitrag 425631)
Ich werd mal versuchen eine Boot-CD durchlaufen zu lassen.
Oder du könntest versuchen diesen Thread abzuarbeiten:
http://www.trojaner-board.de/69886-a...-beachten.html und dir dann von jemandem erklären lassen, wie man es wegkriegt. :rolleyes:

Keine Angst, das ist das letzte Mal, dass ich meine Hilfe anbiete. Danach lass ich dich in Ruhe selber tüfteln.

lg myrtille

Blackbird7 02.04.2009 14:34
Liste der Anhänge anzeigen (Anzahl: 4)
Also das Log von Gmer war schon ein Problem: Nachdem ich unter dem Reiter "Rootkit/Malware" auf "Scan" geklickt hatte, verschwand der Button "Copy" auf nimmer wiedersehen (s. Screenshots). Also hab ich das Log in 4 Screenshots hochgeladen (-> Anhang)
Das HiJackThis Log sieht so aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:18:19, on 02.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
D:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Windows\System32\rundll32.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\System Control Manager\MGSysCtrl.exe
D:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows SteadyState\Bubble.exe
D:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
D:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\Ashampoo\Ashampoo UnInstaller 3\UIWatcher.exe
D:\Program Files\Free Download Manager\fdm.exe
D:\Program Files\TrueCrypt\TrueCrypt.exe
D:\Program Files\GPSoftware\Directory Opus\dopusrt.exe
D:\Program Files\GPSoftware\Directory Opus\dopus.exe
D:\Program Files\Opera\opera.exe
D:\Program Files\winKeyLock\winKeyLock.exe
d:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.losstarten.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:\*Admin*\Documents\ws.js
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: pcwPrivilegien - {1D7A52EE-FBCB-4F46-AD2A-9C0ABAA20BC0} - d:\PROGRA~1\PC-WELT\PCWRUN~1\PCWPRI~1.DLL
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - d:\Program Files\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [Ad-Watch] D:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Bubble] C:\Program Files\Windows SteadyState\Bubble.exe
O4 - HKLM\..\Run: [Logoff] C:\Program Files\Windows SteadyState\SCTUINotify.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] D:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] D:\Program Files\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\RunOnce: [*WerKernelReporting] %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] d:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UIWatcher] D:\Program Files\Ashampoo\Ashampoo UnInstaller 3\UIWatcher.exe
O4 - HKCU\..\Run: [DOpus] D:\Program Files\GPSoftware\Directory Opus\DOpus.exe
O4 - HKCU\..\Run: [Directory Opus Desktop Dblclk] "D:\Program Files\GPSoftware\Directory Opus\dopusrt.exe" /dblclk
O4 - HKCU\..\Run: [TrueCrypt] "I:\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [SandboxieControl] "D:\Program Files\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-593035886-2937626374-93946273-1001\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe (User 'Internet')
O4 - HKUS\S-1-5-21-593035886-2937626374-93946273-1001\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (User 'Internet')
O4 - HKUS\S-1-5-21-593035886-2937626374-93946273-1001\..\Run: [UIWatcher] D:\Program Files\Ashampoo\Ashampoo UnInstaller 3\UIWatcher.exe (User 'Internet')
O4 - HKUS\S-1-5-21-593035886-2937626374-93946273-1001\..\Run: [Free Download Manager] D:\Program Files\Free Download Manager\fdm.exe -autorun (User 'Internet')
O4 - HKUS\S-1-5-21-593035886-2937626374-93946273-1001\..\Run: [TrueCrypt] "D:\Program Files\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites (User 'Internet')
O4 - HKUS\S-1-5-21-593035886-2937626374-93946273-1001\..\Run: [Directory Opus Desktop Dblclk] "D:\Program Files\GPSoftware\Directory Opus\dopusrt.exe" /dblclk (User 'Internet')
O4 - HKUS\S-1-5-21-593035886-2937626374-93946273-1001\..\Run: [DOpus] D:\Program Files\GPSoftware\Directory Opus\dopus.exe (User 'Internet')
O4 - Global Startup: phase-6 Reminder.lnk = D:\Program Files\phase-6\phase-6\reminder\reminder.exe
O8 - Extra context menu item: Download all links using BitComet - res://d:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://d:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://d:\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://h**p://a516.g.akamai.net/f/51...b-20070115.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://62.100.53.122/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA0398A1-BDEE-4105-B61C-1CF3F6C05DF5}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\Windows\system32\cssdll32.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DTUNBMV - Unknown owner - C:\Users\*Admin*\AppData\Local\Temp\DTUNBMV.exe (file missing)
O23 - Service: HCQISR - Unknown owner - C:\Users\*Admin*\AppData\Local\Temp\HCQISR.exe (file missing)
O23 - Service: JPESVXLNZSBQ - Unknown owner - C:\Users\*Admin*\AppData\Local\Temp\JPESVXLNZSBQ.exe (file missing)
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
O23 - Service: PDOZITH - Unknown owner - C:\Users\*Admin*\AppData\Local\Temp\PDOZITH.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - d:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\Zonelabs\vsmon.exe

--
End of file - 10073 bytes


Wie zu sehen ist, läuft Malwarebytes' Antimalware noch.

//EDIT: Ich sehe grad, die Bilder werden relativ schlecht dargestellt. Wenn nicht erkennbar, mal nachfragen

grandnic11 02.04.2009 16:09
Hallo erstmal

Zitat:
C:/Users/*Admin*/AppData/Local/Temp "HCQISR.exe" und "JPESVXLNZSBQ.exe" verhindern das Starten von z.B. Rootkit Revealer. Wenn ich das starten eines Rootkit-Jägers dann erzwinge, werde ich abgemeldet.
Sowas habe ich noch nie erlebt. Hast du schonmal Spybot außprobiert?

EDIT

@angel war ja nur ein Vorschlag sorry :)

Blackbird7 02.04.2009 17:12
Malwarebyte hat diesmal 4 Sachen gefunden:

Zitat:
Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1933
Windows 6.0.6001 Service Pack 1

02.04.2009 17:55:54
mbam-log-2009-04-02 (17-55-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|I:\|K:\|L:\|)
Durchsuchte Objekte: 326665
Laufzeit: 2 hour(s), 36 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> No action taken.

Infizierte Dateien:
C:\Users\Internet\AppData\Local\{DE097E60-7F86-4350-B083-1F09B6906C92}\OFFLINE\71747601\2302A1E7\memman.vxd (Rogue.SysCleanerPro) -> No action taken.
C:\Windows\System32\memman.vxd (Rogue.SysCleanerPro) -> No action taken.
Wurden erfolgreich eliminiert.:daumenhoc

@myrtille: Herzlichen Dank für den Hinweis. Ich weiß deine Hilfe zu schätzen.

RootkitRevealer konnte übrigens nicht starten, weil das nicht Vista-Kompatibel ist :headbang:
Naja, ich schätze, Problem ist gelöst


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131