Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: PSW.Goldun.DC - ein übles biest

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 11.05.2006, 01:08   #1
derBeobachter
 
PSW.Goldun.DC - ein übles biest - Standard

PSW.Goldun.DC - ein übles biest



Fragt mich nicht, in welchem Geisteszustand ich Rechnung.PDF.EXE in einer ohnehin verdächtigen Spam-mail doppelgeklickt habe, schlimm genug dass ich's getan habe....

Erstmal passierte nichts. Tage später wollte ich zu mcafee.com und landete auf einer Linkfarm. Verdächtig!

Also das System mit AVG und Spambot überprüft, nichts!! Kam mir trotzdem seltsam vor, hab mir AdAware runtergeladen, beim ersten Scan ging der Ärger los: AdAware findet einen verdächtigen Prozess, genau in dem Moment kommt etwas, was entfernt Dr.Watson ähnlich schaut, und dann bootet der Computer!!!
Uh, oh! Ich habs nicht geglaubt, aber die Wiederholung brachte die Gewissheit: kein Zufall!
Also rein in die Registry, gibts was verdächtiges in RUN bzw. RUNONCE, aber alles OK.
Jetzt stand ich ziemlich blöd da, weil ich auf KEINE Anti-Virus Homepage mehr gekommen bin, sowohl mit IE als Firefox (das biest hängt sich offenbar in die DNS Auflösung rein). Zum Glück habe ich es nach einigen vergeblichen Versuchen geschafft, in AdAware den Scan zu stoppen und den Quarantäne-button zu drücken, bevor das System gebootet hat. Das hat zwar nicht direkt was genützt, weil die Datei weder gelöscht wurde noch in Quaratäne gekommen ist, aber jetzt hatte ich wenigstens einen Log-Eintrag, welches die Datei war: %windir%\system32\directut.dll.
Ich hab die Datei umbenannt, gebootet und der Spuk war vorbei (keine Fehlermeldungen).

Danach hab ich die manuell die neuersten Virendefinitionen von AVG geladen, und siehe da, heute erkennt er wenigstens den Dropper, nicht aber die DLL selbst.

Ich schreib das zur Warnung: Verlaßt euch nicht auf eure AV-Programme!!!

Ich werd das System morgen neu aufsetzen, erstens weil's eh schon lange nötig war, und zweitens weil ich keine ruhige Minute mehr hätte, das elende Ding ist ganz offensichtlich ein rootkit und klaut gerüchteweise Bank-passwörter und TANs.


Trotzdem: hat jemand infos zu dieser Variante von Goldun, ich kann da nichts finden!

Alt 11.05.2006, 02:35   #2
derBeobachter
 
PSW.Goldun.DC - ein übles biest - Standard

PSW.Goldun.DC - ein übles biest



Nachtrag:

Vorneweg das interessanteste von HJT:

O20 - Winlogon Notify: directut - directut.dll

und hier das ganze log, das system läuft - verständlicherweise - OHNE eben dieser dll.
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 02:46:02, on 11.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\WINNT\System32\cisvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\WINNT\Explorer.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.utanet.at:8080;ftp=proxy.utanet.at:8080
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: IE DOM Explorer - {CC7E636D-39AA-49b6-B511-65413DA137A1} - D:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: Developer Toolbar - {CC962137-2E78-4f94-975E-FC0C07DBD78F} - D:\Programme\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Startup: Guess whats hidden beneath the toolbar.lnk = D:\Programme\Samurize\Client.exe
O4 - Startup: Launch K9.lnk = D:\Programme\K9\K9.exe
O4 - Startup: SyncronizeTime.lnk = C:\Programme\Neutron\Neutron.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LION Pro.lnk = D:\Programme\Lion Pro\lionPRO.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://www.4xem.com/downloads/cab/WPTZ/VatDec.cab
O16 - DPF: {62D6556A-808B-4322-A76F-B5DFF38D3DC5} (Control Media Class) - http://www.acti.com/software/NVCTRLMEDIA.dll
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - http://www.4xem.com/downloads/cab/WLPTG/h263ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{250FDFD4-B115-4152-A6C5-B6A33FCF483A}: NameServer = 195.96.0.4,195.70.224.45
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
=============================================================
O20 - Winlogon Notify: directut - directut.dll (file missing)
=============================================================
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINNT\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: MySQL - Unknown owner - D:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - D:\WINNT\system32\r_server.exe" /service (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
         
__________________


Antwort

Themen zu PSW.Goldun.DC - ein übles biest
adaware, aufsetzen, avg, blöd, computer, datei, dns, dropper, fehlermeldungen, firefox, gelöscht, goldun, homepage, hängt, klaut, neu aufsetzen, prozess, quara, registry, rootkit, runonce, scan, seltsam, spam-mail, spambot, system, system32, warnung, wiederholung



Ähnliche Themen: PSW.Goldun.DC - ein übles biest


  1. wurm oder was übles
    Plagegeister aller Art und deren Bekämpfung - 11.04.2015 (8)
  2. found komische log-dateien, habe ein übles feeling, kann mir das wer erklären?
    Plagegeister aller Art und deren Bekämpfung - 22.07.2013 (35)
  3. Ein echt übles Problemm mit dem Laptop
    Log-Analyse und Auswertung - 21.08.2010 (29)
  4. Übles Virus blockiert FF und Antivir
    Log-Analyse und Auswertung - 02.01.2010 (3)
  5. Übles Problem : Kein Internetzugriff mehr, Registry Einträge werden nicht gespeichert
    Log-Analyse und Auswertung - 01.11.2009 (2)
  6. Übles Virus (kein Internet, Wallpaper verändert, Avira lahmgelegt)
    Plagegeister aller Art und deren Bekämpfung - 20.03.2009 (4)
  7. spy.goldun.ks.4
    Plagegeister aller Art und deren Bekämpfung - 06.03.2007 (13)
  8. win32.TrojanSpy.goldun / logger.Goldun.nj
    Plagegeister aller Art und deren Bekämpfung - 28.12.2006 (1)
  9. Trojaner TR/Spy.Goldun.ML
    Plagegeister aller Art und deren Bekämpfung - 08.12.2006 (3)
  10. Spy.Goldun.ML
    Plagegeister aller Art und deren Bekämpfung - 06.12.2006 (3)
  11. TR/Spy.Goldun.CF.1
    Plagegeister aller Art und deren Bekämpfung - 10.04.2006 (4)
  12. Wo versteckt sich das Biest?
    Plagegeister aller Art und deren Bekämpfung - 06.08.2005 (8)
  13. Bekomme das Biest nicht los und jetzt spinnt der ganze PC!!!
    Plagegeister aller Art und deren Bekämpfung - 24.05.2005 (2)
  14. Übles Ding!!
    Plagegeister aller Art und deren Bekämpfung - 20.05.2005 (7)
  15. krieg das biest nicht los....
    Log-Analyse und Auswertung - 21.02.2005 (3)
  16. Ganz übles Ding aufm Rechner!
    Log-Analyse und Auswertung - 15.01.2005 (1)
  17. Ganz übles Ergenbiss beim Trojaner - Test
    Antiviren-, Firewall- und andere Schutzprogramme - 15.11.2004 (15)

Zum Thema PSW.Goldun.DC - ein übles biest - Fragt mich nicht, in welchem Geisteszustand ich Rechnung.PDF.EXE in einer ohnehin verdächtigen Spam-mail doppelgeklickt habe, schlimm genug dass ich's getan habe.... Erstmal passierte nichts. Tage später wollte ich zu mcafee.com - PSW.Goldun.DC - ein übles biest...
Archiv
Du betrachtest: PSW.Goldun.DC - ein übles biest auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.