Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Obfustat.ABH ausgeführt - was nun?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.07.2007, 15:10   #1
TDO
 
Obfustat.ABH ausgeführt - was nun? - Standard

Obfustat.ABH ausgeführt - was nun?



Hallo zusammen, hier nochmal ein eigener Thread für mein Problem mit dem Obfustat.ABH-Virus (sehr ähnlich zu diesem Thread hier):

Mein AVG-Virenscanner fand heute den Virus "Obfustat.ABH "in einer (eigentlich vertrauenswürdigen) EXE-Datei, die sich aber im Nachhinein als verseucht herausstellte (das Inide-Spiel "Sumotori-Dreams" in der Version 1.00). Zu dem Zeitpunkt als ich die Datei herunterlud (vor ca. 1-2 Monaten), meldete AVG jedenfalls keine Probleme, also führte ich die EXE aus, und dachte mir nichts weiter dabei. Bei einem intensivem Systemscan heute kam allerdings heraus, dass die Datei verseucht war, eben mit Obfustat.ABH.

Wie gefährlich ist nun das Ding, und wie werde ich etwaige Änderungen wieder los?

Mein Versuch die verseuchte (?) Datei bei Jotti und Virustotal hochzuladen, schlugen fehl, weil aus irgendeinem Grund nur 0 Kb übertragen wurden. Ich befürchte, dass das auf dem Virus zurückgeht, zumal der Windows Explorer abstürzt, sobald man einen Rechtsklick auf die verseuchte Datei versucht.

Mein hijack-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:02, on 26.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\system32\SaiMon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\SeaMonkey\seamonkey.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll [Kommentar: Ein Seamonkey-AddIn, dürfte sauber sein]
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SAIMON] C:\WINDOWS\system32\SaiMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://download.windowsupdate.com
O15 - Trusted Zone: h**p://*.windowsupdate.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119819863062
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2) -
O16 - DPF: {CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} (Java Plug-in 1.4.2) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A2CDD3A-CD07-4BB4-8C30-814CB0FEDFBA}: NameServer = 136.199.8.101,136.199.8.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{1615417E-E7F3-4F12-938E-FA3534225CFF}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe

--
End of file - 7809 bytes

Geändert von TDO (26.07.2007 um 15:26 Uhr)

Alt 26.07.2007, 18:56   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Obfustat.ABH ausgeführt - was nun? - Standard

Obfustat.ABH ausgeführt - was nun?



Hallo,

Zitat:
Mein AVG-Virenscanner fand heute den Virus "Obfustat.ABH "in einer (eigentlich vertrauenswürdigen) EXE-Datei, die sich aber im Nachhinein als verseucht herausstellte
da muss nicht zwangsläufig ein Schädling drinstecken. Es kann sich auch um einen Fehlalarm handeln. Für aussagekräftigere Ergebnisse gibt es z.B. virustotal.com - da kannst du Dateien von mehreren Virenscannern auswerten lassen. Werte die eigentlich vertrauenswürdige Exe-Datei dort doch mal aus und poste die Ergebnisse.

Im Logfile fiel mir nur dieser Eintrag auf:
Zitat:
C:\WINDOWS\system32\SaiMon.exe
Hast du ein Saitek Gamepad oder Joystick?
__________________

__________________

Alt 28.07.2007, 21:30   #3
TDO
 
Obfustat.ABH ausgeführt - was nun? - Standard

Obfustat.ABH ausgeführt - was nun?



Zitat:
Zitat von cosinus Beitrag anzeigen
Hallo,



da muss nicht zwangsläufig ein Schädling drinstecken. Es kann sich auch um einen Fehlalarm handeln. Für aussagekräftigere Ergebnisse gibt es z.B. virustotal.com - da kannst du Dateien von mehreren Virenscannern auswerten lassen. Werte die eigentlich vertrauenswürdige Exe-Datei dort doch mal aus und poste die Ergebnisse.

Im Logfile fiel mir nur dieser Eintrag auf:

Hast du ein Saitek Gamepad oder Joystick?
Danke für die schnelle Hilfe. Saitek ist in Ordnung, ich hatte tatsächlich mal einen Saitek-Joystick an meinem Rechner. Das dürfte ok sein. Was aber virustotal.com angeht, verweise ich auf meinen vorigen Post:

Zitat:
Zitat von TDO Beitrag anzeigen
Meine Versuche die verseuchte (?) Datei bei Jotti und Virustotal hochzuladen, schlugen fehl, weil aus irgendeinem Grund nur 0 Kb übertragen wurden.
Erst dachte ich, es hinge mit meiner Firewall zusammen, aber ich habe es jetzt noch einmal auf einem anderen Rechner versucht, und da klappt der Upload der Datei auch nicht. Zudem treten die gleichen Probleme beim Rechtsklick auf, wie bei meinem zuerst verseuchten Rechner. So ganz sauber scheint mir das zumindest nicht zu sein...

Aber wenn du es genauer nachprüfen möchtest: Bei Chip.de steht die Datei noch zum Download: Hier klicken

Nochmal danke, für die Mühe, die ihr euch hier macht.
__________________

Alt 28.07.2007, 22:51   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Obfustat.ABH ausgeführt - was nun? - Standard

Obfustat.ABH ausgeführt - was nun?



Hi,

ich hab die Datei "sumotori.exe" bei Virustotal mal hochgeladen, fünf Virenscanner sprangen an:

Zitat:
Zitat von Virustotal

AVG 7.5.0.476 2007.07.28 Obfustat.ABH
CAT-QuickHeal 9.00 2007.07.28 (Suspicious) - DNAScan
Ikarus T3.1.1.8 2007.07.28 Email-Worm.Win32.Locksky.be
Panda 9.0.0.4 2007.07.28 Suspicious file
Webwasher-Gateway 6.0.1 2007.07.28 Win32.Malware.gen (suspicious)

weitere Informationen
File size: 88064 bytes
MD5: ab8f3b79bf9285ddf94973492c882e18
SHA1: 468f74b01ff7421bc9be45d6c1c11ee08eec6847
Sieht eher nach einem Fehlalarm aus...
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 30.07.2007, 16:08   #5
TDO
 
Obfustat.ABH ausgeführt - was nun? - Standard

Obfustat.ABH ausgeführt - was nun?



Da bin ja erleichtert, dass es ein Fehlalarm ist - das wäre seit 10 Jahren mein erster Virus gewesen, und die Zeit den PC neuzumachen, hätte ich im Moment auch nicht gehabt.

Auf jeden Fall ein dickes Dankeschön für die Hilfe.


Antwort

Themen zu Obfustat.ABH ausgeführt - was nun?
adobe, alert, bho, dateien, download, e-mail, exe-datei, explorer, free download, hijackthis, hkus\s-1-5-18, hotkey, icq, internet, internet explorer, messenger, micro, microsoft, netgear, netgear wg311v3, object, pdf, problem, programme, s-1-5-18, scan, senden, shockwave, software, trend micro, windows, windows xp



Ähnliche Themen: Obfustat.ABH ausgeführt - was nun?


  1. infizierte .dmg ausgeführt
    Alles rund um Mac OSX & Linux - 07.07.2015 (3)
  2. .scr Datei ausgeführt
    Plagegeister aller Art und deren Bekämpfung - 17.12.2013 (13)
  3. GVU-Trojaner - OTL ausgeführt
    Log-Analyse und Auswertung - 07.11.2012 (10)
  4. GVU_trojaner Malware ausgeführt
    Mülltonne - 05.07.2012 (1)
  5. Bundespolizei Trojaner; OTL ausgeführt.
    Log-Analyse und Auswertung - 22.11.2011 (11)
  6. .Exe ausgeführt nichts passiert?
    Log-Analyse und Auswertung - 28.06.2010 (7)
  7. backdoorprogramm ausgeführt
    Plagegeister aller Art und deren Bekämpfung - 19.08.2009 (7)
  8. run.exe ausgeführt (dämlich)
    Log-Analyse und Auswertung - 22.12.2008 (0)
  9. Svhost.exe wird 12 mal ausgeführt !!??
    Mülltonne - 25.10.2008 (4)
  10. obfustat.etu -fehlalarm bei Avg-Free?
    Log-Analyse und Auswertung - 26.12.2007 (4)
  11. Icq-Wurm,.exe ausgeführt
    Plagegeister aller Art und deren Bekämpfung - 17.12.2007 (2)
  12. .exe per ICQ bekommen und ausgeführt
    Mülltonne - 15.12.2007 (0)
  13. .exe Datei ausgeführt
    Plagegeister aller Art und deren Bekämpfung - 14.08.2007 (3)
  14. obfustat.DEH an filetopia.exe mit AVG gefunden - Seuche oder Fehlalarm???
    Plagegeister aller Art und deren Bekämpfung - 02.08.2007 (1)
  15. AVG meldet Obfustat
    Plagegeister aller Art und deren Bekämpfung - 01.08.2007 (7)
  16. .exe Datei ausgeführt
    Log-Analyse und Auswertung - 22.04.2007 (7)
  17. 1und1-Anhang ausgeführt ...
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (7)

Zum Thema Obfustat.ABH ausgeführt - was nun? - Hallo zusammen, hier nochmal ein eigener Thread für mein Problem mit dem Obfustat.ABH-Virus (sehr ähnlich zu diesem Thread hier ): Mein AVG-Virenscanner fand heute den Virus "Obfustat.ABH "in einer (eigentlich - Obfustat.ABH ausgeführt - was nun?...
Archiv
Du betrachtest: Obfustat.ABH ausgeführt - was nun? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.