Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: BloudHound & MyDoom

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 29.04.2006, 09:10   #1
1983_Andrea
 
BloudHound & MyDoom - Icon27

BloudHound & MyDoom



Hallo!

Ich bekämpfe seit heute Nacht Spyware auf meinem Notebook. Hatte die ganze Zeit Sophos installiert und auch jeden Tag mehrmals nach aktuellen .ide Dateien gesucht und upgedatet.
Gestern Nachmittag hat es dann damit angefangen, dass sich der Mozilla einfach immer "zu Werbefenstern umgewandelt" hat. Als ich ihn geschlossen hatte, ist er einfach von selbst aufgesprungen - wieder mit der Scheiß-Werbung...
Habe zusätzlich Spybot heruntergeladen, der einiges gefunden hat, jedoch nicht alles löschen konnte, weil:. "Einige Probleme konnten nicht behoben werden; der Grund könnte sein, dass die entsprechenden Dateien immer noch im Speicher residieren. Dies kann wahrscheinlich nach einem Neustart behoben werden." Allerdings habe ich bereits mehrmals neugestartet und es passiert immer nur das gleiche...
Achja, nach dem Hochfahren gibt er jetzt eine Fehlermeldung an, dass RundLL nicht gefunden werden konnte.

Habe euch noch den letzten Scan angehängt, damit ihr vllt damit besser klar kommt.

Wäre euch echt dankbar, wenn ihr mir helfen könnten!!

Alt 29.04.2006, 09:17   #2
Sunny
Administrator
> Competence Manager
 

BloudHound & MyDoom - Standard

BloudHound & MyDoom



Morgen,

bitte erstelle zusätzlich nochmal ein HijackLog zur genaueren Überprüfung. Anleitung in meiner Signatur. Aus der .txt Datei die du erstellt hast kann man nicht genau ersehen, was schön gefixt bzw. noch (wie du schon festgestellt hast) im Speicher residiert.

Gruß
Daniel
__________________

__________________

Alt 29.04.2006, 09:35   #3
1983_Andrea
 
BloudHound & MyDoom - Standard

BloudHound & MyDoom



Morgen!

Hoffe, hab das alles richtig gemacht...
__________________

Alt 29.04.2006, 09:38   #4
Sunny
Administrator
> Competence Manager
 

BloudHound & MyDoom - Standard

BloudHound & MyDoom



Zitat:
Zitat von 1983_Andrea
Morgen!

Hoffe, hab das alles richtig gemacht...

noch nicht! Poste das LOG von HijackThis hier in deinen Thread ...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 29.04.2006, 09:39   #5
1983_Andrea
 
BloudHound & MyDoom - Standard

BloudHound & MyDoom



Irgendwie scheint der Anhang nicht dabei zu sein....
Noch mal


Alt 29.04.2006, 11:52   #6
Sunny
Administrator
> Competence Manager
 

BloudHound & MyDoom - Standard

BloudHound & MyDoom



Du hast auf jeden Fall schonmal den hier und einige andere im System: W32/Colevo-A


doch bevor wir mit den obrigen anfangen suche diese Dateien und lass sie bei Virustotal überprüfen:
C:\PROGRA~1\GEMEIN~1\fuqw\fuqwm.exe
C:\PROGRA~1\GEMEIN~1\fuqw\fuqwa.exe
C:\WINDOWS\system32\m8460ihse8460.dll

führe zusätzlich noch einen ONLINESCAN bei Kaspersky aus.

Poste bitte die Ergebnisse von Virustotal und Kaspersky.

Gruß
Daniel
__________________
--> BloudHound & MyDoom

Alt 29.04.2006, 12:06   #7
1983_Andrea
 
BloudHound & MyDoom - Standard

BloudHound & MyDoom



Also, erst mal das von virus total:

STATUS: FINISHEDComplete scanning result of "fuqwm.exe", received in VirusTotal at 04.29.2006, 12:56:13 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 TR/Dldr.TSUpdate.N
Avast 4.6.695.0 04.28.2006 Win32:Tsupdate-C
AVG 386 04.28.2006 Downloader.Generic.JAD
Avira 6.34.1.58 04.28.2006 TR/Dldr.TSUpdate.N
BitDefender 7.2 04.29.2006 Application.Targetsavers.C
CAT-QuickHeal 8.00 04.28.2006 TrojanDownloader.TSUpdate.n
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.29.2006 Adware.TargetServer
eTrust-InoculateIT 23.71.142 04.29.2006 Win32/SillyDL.Tsa!Trojan
eTrust-Vet 12.4.2184 04.28.2006 Win32/Sasla.A
Ewido 3.5 04.29.2006 Downloader.TSUpdate.n
Fortinet 2.71.0.0 04.29.2006 W32/TSUpdate.N-tr
F-Prot 3.16c 04.29.2006 security risk named W32/Downloader.JWS
Ikarus 0.2.59.0 04.29.2006 Trojan-Downloader.Win32.TSUpdate.N
Kaspersky 4.0.2.24 04.29.2006 Trojan-Downloader.Win32.TSUpdate.n
McAfee 4751 04.28.2006 potentially unwanted program Uploader-R
Microsoft 1.1372 04.29.2006 Startup.NameShifter.JV (threat-c)
NOD32v2 1.1512 04.28.2006 Win32/TrojanDownloader.TSUpdate.N
Norman 5.90.17 04.28.2006 W32/DLoader.QKD
Panda 9.0.0.4 04.28.2006 Adware/Sqwire
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.29.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 Trojan/Downloader.TSUpdate.n
UNA 1.83 04.28.2006 TrojanDownloader.Win32.TSUpdate
VBA32 3.11.0 04.28.2006 Trojan-Downloader.Win32.TSUpdate.n


Aditional Information
File size: 9216 bytes
MD5: 050731180c404db42028e8e044aea558
SHA1: 8e53737599481f62b007e44a146536407421f0d2

STATUS: FINISHEDComplete scanning result of "fuqwa.exe", received in VirusTotal at 04.29.2006, 13:02:29 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 TR/Dldr.TSUpdate.L.1
Avast 4.6.695.0 04.28.2006 Win32:Tsupdate-D
AVG 386 04.28.2006 Downloader.Generic.IRO
Avira 6.34.1.58 04.28.2006 TR/Dldr.TSUpdate.L.1
BitDefender 7.2 04.29.2006 Trojan.Downloader.TSUpdate.L
CAT-QuickHeal 8.00 04.28.2006 TrojanDownloader.TSUpdate.l
ClamAV devel-20060202 04.27.2006 Trojan.Downloader.Small-504
DrWeb 4.33 04.29.2006 Trojan.DownLoader.5289
eTrust-InoculateIT 23.71.142 04.29.2006 no virus found
eTrust-Vet 12.4.2184 04.28.2006 no virus found
Ewido 3.5 04.29.2006 Downloader.TSUpdate.l
Fortinet 2.71.0.0 04.29.2006 W32/TSUpdate
F-Prot 3.16c 04.29.2006 security risk named W32/Downloader.LTV
Ikarus 0.2.59.0 04.29.2006 Trojan-Downloader.Win32.TSUpdate.L
Kaspersky 4.0.2.24 04.29.2006 Trojan-Downloader.Win32.TSUpdate.l
McAfee 4751 04.28.2006 potentially unwanted program Uploader-R
Microsoft 1.1372 04.29.2006 TargetSaver (threat-c)
NOD32v2 1.1512 04.28.2006 Win32/TrojanDownloader.TSUpdate.L
Norman 5.90.17 04.28.2006 W32/DLoader.QLQ
Panda 9.0.0.4 04.28.2006 Adware/Sqwire
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.29.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 Trojan/Downloader.TSUpdate.l
UNA 1.83 04.28.2006 TrojanDownloader.Win32.TSUpdate
VBA32 3.11.0 04.28.2006 Trojan-Downloader.Win32.TSUpdate.l


Aditional Information
File size: 16896 bytes
MD5: 5d89c1022e687d6793505054eddbe1a7

STATUS: FINISHEDComplete scanning result of "m8460ihse8460.dll", received in VirusTotal at 04.29.2006, 13:05:25 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.28.2006 no virus found
AVG 386 04.28.2006 no virus found
Avira 6.34.1.58 04.28.2006 no virus found
BitDefender 7.2 04.29.2006 no virus found
CAT-QuickHeal 8.00 04.28.2006 no virus found
ClamAV devel-20060202 04.27.2006 no virus found
DrWeb 4.33 04.29.2006 no virus found
eTrust-InoculateIT 23.71.142 04.29.2006 no virus found
eTrust-Vet 12.4.2184 04.28.2006 no virus found
Ewido 3.5 04.29.2006 no virus found
Fortinet 2.71.0.0 04.29.2006 no virus found
F-Prot 3.16c 04.29.2006 no virus found
Ikarus 0.2.59.0 04.29.2006 no virus found
Kaspersky 4.0.2.24 04.29.2006 no virus found
McAfee 4751 04.28.2006 no virus found
Microsoft 1.1372 04.29.2006 no virus found
NOD32v2 1.1512 04.28.2006 no virus found
Norman 5.90.17 04.28.2006 no virus found
Panda 9.0.0.4 04.28.2006 no virus found
Sophos 4.05.0 04.28.2006 no virus found
Symantec 8.0 04.29.2006 no virus found
TheHacker 5.9.7.136 04.29.2006 no virus found
UNA 1.83 04.28.2006 no virus found
VBA32 3.11.0 04.28.2006 no virus found


Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e


Kaspersky wird von meiner Firewall geblockt, finde auch nicht, wie ich es doch erlauben kann...

Noch mal großen Dank an dich!

Alt 29.04.2006, 12:16   #8
Sunny
Administrator
> Competence Manager
 

BloudHound & MyDoom - Standard

BloudHound & MyDoom



Hast Du Kaspersky muit dem Internet Explorer benutzt? Oder verwendest Du Mozilla ?
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 29.04.2006, 12:18   #9
1983_Andrea
 
BloudHound & MyDoom - Standard

BloudHound & MyDoom



Den Mozilla hab ich mittlerweile deinstalliert, weil der ja gesponnen hat. Benutze Avant, habe aber das Kaspersky mit IE geöffnet.

Alt 29.04.2006, 12:36   #10
Shadow
/// Mr. Schatten
 
BloudHound & MyDoom - Standard

BloudHound & MyDoom



Avant ist nur ein bunter Aufsatz auf den Internet-Explorer.
Prinzipiell solltest du wieder auf einen weniger unsicheren Browser umsteigen, wie Firefox oder Opera.

Anschließend nach (nach Daniel/Sunnys Tipp bzgl der gefunden Viren) solltest du Spybot S&D eventuell auch mal im Abgesicherten Modus durchlaufen lassen.

Log-Dateien bitte immer IN einen Beitrag einfügen
[Ins Log-File "gehen", Strg+A (markiert alles), Strg+C (kopiert markiertes) und hier in deinen Beitrag Strg+V (fügt die Zwischenablage ein)]
Und bevor du ein HJT-Log (oder ähnliches machst), schlöieße alle Programme, alle Fenster.

"Suche" auch noch einmal die C:\WINDOWS\system32\m8460ihse8460.dll mache Rechtsklick auf dieses DLL und lasse dir die (Hersteller)-Informationen ausgeben.

Der
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Geändert von Shadow (29.04.2006 um 12:44 Uhr)

Alt 29.04.2006, 13:00   #11
1983_Andrea
 
BloudHound & MyDoom - Standard

BloudHound & MyDoom



Das ist der Scan aus dem abgesicherten Modus:

Command Service: System Service (Registry key, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\cmdService

Command Service: Settings (Registry key, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cmdService

Command Service: Settings (Registry key, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdService

NewDotNet: Autorun settings (Registry value, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\New.net Startup

NewDotNet: Program directory (Directory, fixed)
C:\Programme\NewDotNet\

NewDotNet: Global settings (Registry key, fixed)
HKEY_LOCAL_MACHINE\Software\New.net

NicTechNetworks.Zestyfind: Executable (File, fixed)
C:\WINDOWS\iconu.exe


--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-04-28 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-04-21 Includes\Cookies.sbi (*)
2006-04-21 Includes\Dialer.sbi (*)
2006-04-21 Includes\Hijackers.sbi (*)
2006-04-21 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2006-04-21 Includes\Malware.sbi (*)
2006-04-21 Includes\PUPS.sbi (*)
2006-04-21 Includes\Revision.sbi (*)
2006-04-21 Includes\Security.sbi (*)
2006-04-21 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti
2006-04-21 Includes\Trojans.sbi (*)

und jetzt hab ich nach dem Neustart noch mal einen Durchlauf gemacht:

Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done)


Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done)


Winfixer: Tracking cookie (Firefox: default) (Cookie, nothing done)


Common Dialogs: History (41 files) (Registry key, fixed)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU

Log: Activity: COM+.log (Backup file, fixed)
C:\WINDOWS\COM+.log

Log: Activity: SchedLgU.Txt (Backup file, fixing failed)
C:\WINDOWS\SchedLgU.Txt

Log: Activity: imsins.log (Backup file, fixed)
C:\WINDOWS\imsins.log

Log: Activity: OEWABLog.txt (Backup file, fixed)
C:\WINDOWS\OEWABLog.txt

Log: Activity: ntbtlog.txt (Backup file, fixed)
C:\WINDOWS\ntbtlog.txt

Log: Install: comsetup.log (Backup file, fixed)
C:\WINDOWS\comsetup.log

Log: Install: ocgen.log (Backup file, fixed)
C:\WINDOWS\ocgen.log

Log: Install: setupact.log (Backup file, fixed)
C:\WINDOWS\setupact.log

Log: Install: setupapi.log (Backup file, fixed)
C:\WINDOWS\setupapi.log

Log: Install: setuperr.log (Backup file, fixed)
C:\WINDOWS\setuperr.log

Log: Install: setuplog.txt (Backup file, fixed)
C:\WINDOWS\setuplog.txt

Log: Install: wmsetup.log (Backup file, fixed)
C:\WINDOWS\wmsetup.log

Log: Install: DtcInstall.log (Backup file, fixed)
C:\WINDOWS\DtcInstall.log

Log: Shutdown: System32\wbem\logs\mofcomp.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\mofcomp.log

Log: Shutdown: System32\wbem\logs\setup.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\setup.log

Log: Shutdown: System32\wbem\logs\wbemcore.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wbemcore.log

Log: Shutdown: System32\wbem\logs\wbemess.lo_ (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wbemess.lo_

Log: Shutdown: System32\wbem\logs\wbemess.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wbemess.log

Log: Shutdown: System32\wbem\logs\wbemprox.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wbemprox.log

Log: Shutdown: System32\wbem\logs\wmiadap.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wmiadap.log

Log: Shutdown: System32\wbem\logs\wmiprov.log (Backup file, fixed)
C:\WINDOWS\System32\wbem\logs\wmiprov.log

Cookie: Cookie (48) (Cookie, fixed)


Cache: Cache (1292) (Cache, fixed)


Cookie: Cookie (507) (Cookie, fixed)



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2006-04-28 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2006-02-06 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2006-02-20 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2006-04-21 Includes\Cookies.sbi
2006-04-21 Includes\Dialer.sbi
2006-04-21 Includes\Hijackers.sbi
2006-04-21 Includes\Keyloggers.sbi
2004-11-29 Includes\LSP.sbi
2006-04-21 Includes\Malware.sbi
2006-04-21 Includes\PUPS.sbi
2006-04-21 Includes\Revision.sbi
2006-04-21 Includes\Security.sbi
2006-04-21 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2006-04-21 Includes\Trojans.sbi

Alt 29.04.2006, 13:05   #12
1983_Andrea
 
BloudHound & MyDoom - Standard

BloudHound & MyDoom



ach ja - beim Neustart kam die Fehlermeldung:

Fehler beim Laden von w04e17b3.dll

Alt 29.04.2006, 13:16   #13
Sunny
Administrator
> Competence Manager
 

BloudHound & MyDoom - Standard

BloudHound & MyDoom



Hast du das gemacht was Shadow geasgt hat:
Zitat:
Zitat von Shadow
"Suche" auch noch einmal die C:\WINDOWS\system32\m8460ihse8460.dll mache Rechtsklick auf dieses DLL und lasse dir die (Hersteller)-Informationen ausgeben.
schreib in einen Beitrag die Informationen der Datei.

Dann machst du einen eScan, gehe genau die Anleitung durch und poste es wie beschrieben!

Gruß
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 29.04.2006, 13:22   #14
1983_Andrea
 
BloudHound & MyDoom - Standard

BloudHound & MyDoom



Die Datei ist bei mir nicht vorhanden...

Alt 29.04.2006, 13:23   #15
Sunny
Administrator
> Competence Manager
 

BloudHound & MyDoom - Standard

BloudHound & MyDoom



Dann mach als nächstes einen eScan und dann sehen wir weiter
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu BloudHound & MyDoom
aktuelle, besser, dateien, dll, einfach, fehlermeldung, gen, geschlossen, gesucht, helfen, heute, hochfahren, installiert, löschen, mozilla, neustart, nicht gefunden, probleme, rundll, scan, sophos, speicher, spybot, spyware, von selbst, wahrscheinlich, werbefenster, zusätzlich



Ähnliche Themen: BloudHound & MyDoom


  1. Mydoom.I
    Plagegeister aller Art und deren Bekämpfung - 24.02.2007 (14)
  2. myDoom???ominöses fenster bei der ausführung ad-awares
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (5)
  3. Verhält sich wie Mydoom, ist es aber nicht?
    Plagegeister aller Art und deren Bekämpfung - 19.11.2004 (7)
  4. High-Level-Alert W32.Novarg.A@mm alias W32/Mydoom@MM
    Plagegeister aller Art und deren Bekämpfung - 20.02.2004 (31)
  5. Neuer Wurm nutzt MyDoom-Backdoor: W32.HLLW.Deadhat
    Plagegeister aller Art und deren Bekämpfung - 10.02.2004 (3)

Zum Thema BloudHound & MyDoom - Hallo! Ich bekämpfe seit heute Nacht Spyware auf meinem Notebook. Hatte die ganze Zeit Sophos installiert und auch jeden Tag mehrmals nach aktuellen .ide Dateien gesucht und upgedatet. Gestern Nachmittag - BloudHound & MyDoom...
Archiv
Du betrachtest: BloudHound & MyDoom auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.