Trojaner-Board
Seite 5 von 5 « Erste 34 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Worm_downad.ad ? (https://www.trojaner-board.de/85119-worm_downad-ad.html)

Snewi 04.05.2010 12:13
Einen Server hab ich noch gefunden der die Quelle (DomainController) sein könnte!
Ist aber Windoes 2003 Server BS! Gibt es hier ne Möglichkeit wie bei dem Avenger vorzugehen?

Log:
Code:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-04 13:08:38
Windows 5.2.3790 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxroapoc.sys


---- Kernel code sections - GMER 1.0.15 ----

_LTEXT          C:\WINDOWS\system32\DRIVERS\sntie.sys                                              entry point in "_LTEXT" section [0xB5A37160]

---- User code sections - GMER 1.0.15 ----

.text          C:\WINDOWS\System32\svchost.exe[884] ntdll.dll!NtQueryInformationProcess            7C94759D 5 Bytes  JMP 01799DC2
.text          C:\WINDOWS\System32\svchost.exe[884] NETAPI32.dll!NetpwPathCanonicalize            71A59511 5 Bytes  JMP 01799D62

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                              TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                            tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                          tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                        tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                            TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- Services - GMER 1.0.15 ----

Service        C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                  [AUTO] udchbxvo                                                                                                                                                                                                                                                                                                                                    <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@DisplayName                        Update Universal
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Type                                32
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Start                              2
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ErrorControl                        0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ImagePath                          %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ObjectName                          LocalSystem
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Description                        L?st NetBIOS-Namen f?r TCP/IP-Clients auf, indem Netzwerkdienste, die NetBIOS verwenden, ermittelt werden. Netzwerk-NetBIOS-Dienste funktionieren nicht einwandfrei, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo\Parameters                         
Reg            HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo\Parameters@ServiceDll              C:\WINDOWS\system32\mcvbosa.dll
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@DisplayName                            Update Universal
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Type                                    32
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Start                                  2
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ErrorControl                            0
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ImagePath                              %SystemRoot%\system32\svchost.exe -k netsvcs
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ObjectName                              LocalSystem
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Description                            L?st NetBIOS-Namen f?r TCP/IP-Clients auf, indem Netzwerkdienste, die NetBIOS verwenden, ermittelt werden. Netzwerk-NetBIOS-Dienste funktionieren nicht einwandfrei, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo\Parameters (not active ControlSet)     
Reg            HKLM\SYSTEM\ControlSet002\Services\udchbxvo\Parameters@ServiceDll                  C:\WINDOWS\system32\mcvbosa.dll
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability@LastAliveUptime          963815
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs             
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota    10000
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                  yes
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                 
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DesktopHeapLogging        1
Reg            HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERPostMessageLimit      100000

---- EOF - GMER 1.0.15 ----

cosinus 04.05.2010 13:41
Zitat:
Ist aber Windoes 2003 Server BS! Gibt es hier ne Möglichkeit wie bei dem Avenger vorzugehen?
Mit OSAM versuchen die "bösen" Dienste zu löschen...

Snewi 06.05.2010 07:22
So wie es aussieht ist der Virus weg! Es kommt aufjedenfall keine Meldung mehr auf irgendeinem Client oder Server :Boogie:

Die Frage ist ob er auch wirklich weg ist und ob man das noch irgendwie überprüfen kann oder ist es jetzt mehr Glück?:D

Danke nochmal an Cosinus der viel Geduld mit mir haben musste aber der eine echt große große Hilfe war! Also DANKE :party:

Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:12 Uhr.
Seite 5 von 5 « Erste 34 5
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131