| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Abnow Trojaner (und vielleicht noch anderes) Logs im AnhangWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
15.03.2012, 20:22
| #1 |
| |  Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang Halli Hallo, ich musste gerade feststellen, dass auch ich nicht vor Viren sicher bin. Genauer gesagt geht es um den PC meines Vaters. Es handelt sich um den fiesen Abnow Virus, ich will nicht wissen, wie er sich den eingefangen hat. Ich weiß jedoch, dass eine Neuinstallation z.Zt. nicht möglich ist, da es sich um den CAD Rechner meines Vaters handelt und er die CAD Software von seiner Firma gestellt bekommt. Problem ist, dass er erst einen Aufwändigen Antrag auf herausgabe der CD's stellen muss, der von der GF abgenickt werden muss. Daher muss der PC jetzt erstmal bereinigt werden. Es handelt sich um ein Windows XP Pro. Systemfestplatte ist E:\ Ich war auch schoneinmal so frei, die "ersten Schritte" durchzuführen: Defogger, DDS und GMER sind drübergelaufen. Die Logs befinden sich im Anhang. Ich hoffe wir bekommen das heute noch recht schnell wieder geregelt, der Rechner muss morgen früh leider wieder in den Produktiveinsatz  Vielen Dank schoneinmal im voraus. GMER: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-15 20:16:34
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e Hitachi_HDT721010SLA360 rev.ST6OA31B
Running: 3p4eg179.exe; Driver: E:\DOKUME~1\Achim\LOKALE~1\Temp\awdcrpod.sys
---- System - GMER 1.0.15 ----
SSDT BA7D8114 ZwClose
SSDT BA7D80CE ZwCreateKey
SSDT BA7D811E ZwCreateSection
SSDT BA7D80C4 ZwCreateThread
SSDT BA7D80D3 ZwDeleteKey
SSDT BA7D80DD ZwDeleteValueKey
SSDT BA7D810F ZwDuplicateObject
SSDT BA7D80E2 ZwLoadKey
SSDT BA7D80B0 ZwOpenProcess
SSDT BA7D80B5 ZwOpenThread
SSDT BA7D80EC ZwReplaceKey
SSDT BA7D80E7 ZwRestoreKey
SSDT BA7D8123 ZwSetContextThread
SSDT BA7D80D8 ZwSetValueKey
SSDT BA7D80BF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text E:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB9815000, 0x288B98, 0xE8000020]
? E:\DOKUME~1\Achim\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x34 0xEB 0x80 0x35 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x28 0x5A 0x03 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2C 0xBB 0xB6 0x43 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x34 0xEB 0x80 0x35 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF4 0x28 0x5A 0x03 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x2C 0xBB 0xB6 0x43 ...
---- Files - GMER 1.0.15 ----
File E:\WINDOWS\$NtUninstallKB9588$\2768666509 0 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\@ 2048 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\L 0 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\L\wgezhine 75264 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\loader.tlb 2632 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U 0 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@00000001 45968 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000c0 2560 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000cb 3072 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@000000cf 1536 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@80000000 73728 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000c0 43008 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000cb 25600 bytes
File E:\WINDOWS\$NtUninstallKB9588$\2768666509\U\@800000cf 31232 bytes
File E:\WINDOWS\$NtUninstallKB9588$\357110804 0 bytes
---- EOF - GMER 1.0.15 ----
DDS: Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_29
Run by Achim at 18:00:25 on 2012-03-15
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.3070.2503 [GMT 1:00]
.
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
E:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\Programme\Avira\AntiVir Desktop\sched.exe
svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Medion Info Display\MdionLCM.exe
E:\WINDOWS\RTHDCPL.EXE
E:\Programme\Avira\AntiVir Desktop\avgnt.exe
E:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
E:\WINDOWS\vsnpstd3.exe
E:\Programme\FreePDF_XP\fpassist.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programme\Avira\AntiVir Desktop\avguard.exe
E:\Programme\Autodesk\Data Management Server 2008\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
E:\Programme\Avira\AntiVir Desktop\avshadow.exe
E:\Programme\Java\jre6\bin\jqs.exe
E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
E:\Programme\CDBurnerXP\NMSAccessU.exe
E:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
E:\WINDOWS\system32\svchost.exe -k imgsvc
E:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
E:\WINDOWS\system32\wuauclt.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = my.daemon-search.com
BHO: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - e:\programme\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - e:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
TB: DAEMON Tools Toolbar: {32099aac-c132-4136-9e9a-4e364a424e17} - e:\programme\daemon tools toolbar\DTToolbar.dll
uRun: [CTFMON.EXE] e:\windows\system32\ctfmon.exe
mRun: [MedionVFD] "e:\programme\medion info display\MdionLCM.exe"
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [avgnt] "e:\programme\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "e:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [snpstd3] e:\windows\vsnpstd3.exe
mRun: [FreePDF Assistant] e:\programme\freepdf_xp\fpassist.exe
dRun: [CTFMON.EXE] e:\windows\system32\CTFMON.EXE
dRunOnce: [3DxAssociateFileExts] e:\programme\3dconnexion\3dconnexion 3dxsoftware\3dxviewer\register.exe "FileExts"
StartupFolder: e:\dokume~1\alluse~1\startm~1\progra~1\autost~1\solidw~1.lnk - e:\programme\gemeinsame dateien\solidworks installations-manager\backgrounddownloading\sldBgDwld.exe
StartupFolder: e:\dokume~1\alluse~1\startm~1\progra~1\autost~1\start3~1.lnk - e:\programme\3dconnexion\3dconnexion 3dxsoftware\3dxware\3dxsrv.exe
IE: Nach Microsoft E&xel exportieren - e:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - e:\programme\messenger\msmsgs.exe
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - e:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - e:\progra~1\micros~2\office12\REFIEBAR.DLL
LSP: mswsock.dll
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1294572509625
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - e:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - e:\dokumente und einstellungen\achim\anwendungsdaten\mozilla\firefox\profiles\w7qlromn.default\
FF - prefs.js: browser.startup.homepage - hxxps://bankingportal.sparkasse-werra-meissner.de/portal/portal/Starten?IID=52250030&AID=IPSTANDARD&IFLBSERVERID=IF@@031@@IF
FF - plugin: e:\programme\foxit software\foxit reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: e:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: e:\programme\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: e:\programme\mozilla firefox\plugins\npEModelPlugin.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;e:\programme\avira\antivir desktop\avgio.sys [2011-1-9 11608]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;e:\windows\system32\drivers\dtsoftbus01.sys [2011-6-24 218688]
R2 AntiVirSchedulerService;Avira AntiVir Planer;e:\programme\avira\antivir desktop\sched.exe [2011-1-9 136360]
R2 AntiVirService;Avira AntiVir Guard;e:\programme\avira\antivir desktop\avguard.exe [2011-1-9 269480]
R2 avgntflt;avgntflt;e:\windows\system32\drivers\avgntflt.sys [2011-1-9 66616]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;e:\windows\system32\drivers\cmiucr.SYS [2011-1-9 69248]
S0 rseb;rseb; [x]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;e:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 lpx;Mcp;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]
S2 mcredirector;Webrootspysweeperservice;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]
S2 mirrorv3;Ccflic0;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]
S2 savrtpel;Packet;e:\windows\system32\svchost.exe -k netsvcs [2008-4-28 14336]
S3 CoordinatorServiceHost;SW Distributed TS Coordinator Service;d:\programme\solidworks corp\solidworks\swscheduler\DTSCoordinatorService.exe [2010-10-5 87336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;e:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;e:\programme\microsoft visual studio 8\common7\ide\remote debugger\x86\msvsmon.exe [2006-10-26 2799808]
.
=============== File Associations ===============
.
.scr=AutoCADScriptFile
.
=============== Created Last 30 ================
.
2012-03-14 20:46:53 -------- d-----w- E:\_OTL
2012-03-14 18:03:02 0 --sha-w- e:\windows\system32\dds_log_ad13.cmd
2012-03-14 18:01:09 -------- d-sh--w- e:\dokumente und einstellungen\achim\lokale einstellungen\anwendungsdaten\a5067f8d
2012-03-03 20:14:47 61440 ----a-w- e:\windows\system32\FTChipID.dll
2012-03-03 20:14:41 -------- d-----w- e:\dokumente und einstellungen\achim\anwendungsdaten\ScanMaster-ELM
2012-03-03 20:14:40 -------- d-----w- e:\programme\WGSoft
2012-03-03 20:12:03 -------- d-----w- E:\obd2
2012-02-23 19:37:42 73728 ----a-w- e:\windows\ALCFDRTM.EXE
2012-02-16 13:31:35 3072 -c----w- e:\windows\system32\dllcache\iacenc.dll
2012-02-16 13:31:35 3072 ------w- e:\windows\system32\iacenc.dll
.
==================== Find3M ====================
.
2012-02-03 09:57:08 1860224 ----a-w- e:\windows\system32\win32k.sys
2012-01-09 16:20:20 139784 ----a-w- e:\windows\system32\drivers\rdpwd.sys
2011-12-28 07:01:20 414368 ----a-w- e:\windows\system32\FlashPlayerCPLApp.cpl
2011-12-17 19:43:23 916992 ----a-w- e:\windows\system32\wininet.dll
2011-12-17 19:43:23 43520 ------w- e:\windows\system32\licmgr10.dll
2011-12-17 19:43:23 1469440 ------w- e:\windows\system32\inetcpl.cpl
.
============= FINISH: 18:00:42,06 ===============
|
|
16.03.2012, 18:19
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Abnow Trojaner (und vielleicht noch anderes) Logs im AnhangZitat:
Soll die GF das abnicken und ihm einen Admin zukommen lassen, der ihm den Rechner neu einrichtet - wozu hat man eine EDV-Abteilung? 
__________________ |
|
16.03.2012, 18:38
| #3 | |
| | Abnow Trojaner (und vielleicht noch anderes) Logs im AnhangZitat:
Btw. arbeite als 2nd Level Supporter für Admins. Und bevor gleich die Frage kommt... Ja, die Sache mit dem Image hab ich etwas vernachlässigt. Noch ne Idee, wie ich das System ca. 7 Tage lang produktiv halten kann? Die arbeit nehm ich (auch wenn nicht wirklich...) gern in kauf. Gruß Christoph |
|
16.03.2012, 19:12
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
16.03.2012, 20:56
| #5 |
| | Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang Ok - ich muss mich leider geschlagen geben. Mittlerweile ist die Netzwerkverbindung "tot" und lässt sich auch nicht wiederherstellen. Ich werd jetzt meinen Live-Stick nehmen und ne dasi machen und wohl oder übel neu aufsetzen müssen. Eine kleine Frage hätte ich jedoch noch: Ab wann nehmt Ihr wieder Bewerber auf? Gruß Christoph |
|
17.03.2012, 14:22
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang Weiß ich nicht, das müsste Larusso wisse
__________________ --> Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang |
|
| Themen zu Abnow Trojaner (und vielleicht noch anderes) Logs im Anhang |
| abnow, antivir, antivir guard, avg, avira, cdburnerxp, desktop, einstellungen, explorer, fiese, firefox, helper, home, microsoft, mozilla, nicht möglich, plug-in, problem, programme, registry, scan, server, software, svchost, temp, trojaner, viren, virus, visual studio, windows, windows xp |
Linear-Darstellung
