| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWinWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
18.10.2007, 01:14
| #1 |
| /// Helfer-Team    |  Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWin Hi, da bin ich heute mal Spielverderber. Dein HijackThis Log hat jedenfalls ein Administrator gemacht. Und dann habe ich noch den hier entdeckt: Code:
ATTFilter O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe
Gruß, Karl |
|
19.10.2007, 19:09
| #2 | ||
| | Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWinZitat:
 Schönen Dank für den Hinweis! Ich habe heute eine ziemlich lange escan-Sitzung hinter mir, aber vor Sonntag komme ich nicht zur Auswertung der Ergebnisse. Zitat:
Gruß, KBL |
|
20.10.2007, 02:10
| #3 |
| /// Helfer-Team | Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWin Ja, aber ein Benutzer mit Administratorrechten, das ist praktisch gesehen das selbe. Es reicht nicht aus, noch ein Benutzerkonto zu erstellen, sondern man muss es in Systemsteuerung -> Benutzer auch noch zu einem eingeschränkten machen. Das geht aber erst mit dem zweiten zusätzlich angelegten Benutzerkonto, da Windows darauf besteht, dass das erste seine Administratorrechte behalten muss. Stimmt, das ist ziemlich verwirrend und hirnrissig, aber bei der Company erwarte ich auch nicht viel anderes, Sicherheit ist nicht gerade ihr Lieblingsthema.
__________________ |
|
21.10.2007, 16:55
| #4 | |||||||
| | Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWinZitat:
ich gemacht habe? Weil, den escan habe ich auch mit Admin-Rechten abgehalten. War das nicht richtig? Hier ist jedenfalls das Ergebnis: Code:
ATTFilter ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01
Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL
eScan Version: 9.4.7
Sprache: German
Virus-Datenbank Datum: 10/17/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "zlob Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "toolbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with savingbot shopper Spyware/Adware (foxuser.dbf)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (date.ico)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen.
System found infected with xrenoder Spyware/Adware (display.php)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (date.ico)! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (games.ico)! Action taken: Keine Aktion vorgenommen.
System found infected with xrenoder Spyware/Adware (display.php)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\directx.exe.suspicious//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\31exssd32g.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.ev" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\6ex1.modul32s.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.ep" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\setup.exe//UPX infiziert von "Trojan-Proxy.Win32.Horst.es" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\tmp1.tmp infiziert von "Trojan-Proxy.Win32.Horst.zb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users\.clamwin\quarantine\infected.4ex4.mhdd.exe.000.000//UPX infiziert von "Trojan-Proxy.Win32.Horst.ev" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\48\2c9834b0-7bedde93/BaaaaBaa.class infiziert von "Trojan.Java.ClassLoader.ao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-14b53757-484a52de.zip/BaaaaBaa.class infiziert von "Trojan.Java.ClassLoader.ao" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\$NtUninstallKB873339$\IEXPLORE.EXE__//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\$NtUninstallKB887472$\IEXPLORE.EXE//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\directx.exe.suspicious//PESpin infiziert von "Backdoor.Win32.Rukap.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\****\gnus\agent\nntp\news.gnus.org\gnus\ding-announce\654 infiziert von "Trojan-Spy.HTML.Bankfraud.ki" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei G:\****\gnus\agent\nntp\news.gnus.org\gnus\ding-announce\658 infiziert von "Trojan-Spy.HTML.Bankfraud.ki" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\All Users\.clamwin\quarantine\infected.dmcpmpos_dll.000//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File G:\bin\psexec.exe markiert als "not-a-virus:RiskTool.Win32.PsExec.131". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei G:\bin\pskill.exe markiert als not-a-virus:NetTool.Win32.PsKill.a. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\microsoft\visual foxpro 9\foxuser.dbf
Offending file found: G:\work\pics\icon pack\icone (ico)\date.ico
Offending file found: G:\work\pics\icon pack\icone (ico)\games.ico
Offending file found: G:\work\www\pgadmin\display.php
Offending file found: G:\work\pics\icon pack\icone (ico)\date.ico
Offending file found: G:\work\pics\icon pack\icone (ico)\games.ico
Offending file found: G:\work\www\pgadmin\display.php
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: G:\work\www\admin\libraries\dbi
Offending Folder found: G:\work\www\admin\libraries\dbi
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\media-codec !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\434FG1W7\ii_nt86[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YVS1YXKJ\iv_nt86[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\hamster\hamster.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_CHS_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_CHT_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_DE_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_ENU_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_ES_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_FR_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_IT_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_JA_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\Diagnostics\System_SR_KO_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v1.0\WindowsCE\WCE500\ARMV4i\NETCFv1.WM.ARMV4I.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_CHS_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_CHT_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_DE_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_ENU_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_ES_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_FR_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_IT_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_JA_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_KO_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\Diagnostics\System_SR_pt-BR_wm.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce400\armv4\NETCFv2.ppc.armv4.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\armv4i\NETCFv2.wce5.armv4i.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\armv4i\NETCFv2.wm.armv4i.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\mipsii\NETCFv2.wce5.mipsii.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\mipsiv\NETCFv2.wce5.mipsiv.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\sh4\NETCFv2.wce5.sh4.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
G:\bin\Microsoft Visual Studio 8\SmartDevices\SDK\CompactFramework\2.0\v2.0\WindowsCE\wce500\x86\NETCFv2.wce5.x86.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 792319
Gefundene Viren: 27
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 767
Dauer des Scans bisher: 09:50:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Batchstart: 18:03:47,79
Batchende: 18:06:08,28
Ich habe auch noch ein paar Anmerkungen und Fragen dazu: Welche Warnungen vom escan sind wirklich ernst zu nehmen? Die "Offending files" und "Ordner" z.B. scheinen mir harmlos zu sein, andererseits möchte ich eine Warnung vor Zlob auch nicht auf die leichte Schulter nehmen... Zitat:
diese Datei in der Registry unter folgenden Schlüsseln gefunden: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DirectService HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DirectService HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DirectService KarlKarls oben erwähnten castlecop-Link folgend, fand ich bei Sophos u.a. heraus: Zitat:
Bei den castlecops steht außerdem: Zitat:
aufzuräumen, also die o.a. Schlüssel zu löschen, und die directx.exe zu löschen? Zitat:
gefunden. Dort sind noch ein paar .confs und txts und so. Das kann ich dann wohl alles löschen und dann ist der "Horst" erledigt, richtig? Zitat:
Zitat:
Code:
ATTFilter HKCR\CLSID\{E37D767F-EADE-48BF-A717-ABED67DA3194}\InprocServer32
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E37D767F-EADE-48BF-A717-ABED67DA3194}\iexplore
HKLMACHINE\SOFTWARE\Classes\CLSID\{E37D767F-EADE-48BF-A717-ABED67DA3194}\InprocServer32
HKLMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E37D767F-EADE-48BF-A717-ABED67DA3194}
HKU\S-1-5-21-329068152-2111687655-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E37D767F-EADE-48BF-A717-ABED67DA3194}\iexplore
Datei entferne? Grüße, KBL |
|
22.10.2007, 05:03
| #5 |
| /// Helfer-Team | Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWin Doch, einen Scan mit Adminrechten zu machen, ist schon richtig. Ich habe vermutet, dass Du das HijackThis von dem Konto gemacht hast, dass Du normalerweise benutzt und wollte aufzeigen, dass das ein Adminkonto ist auch wenn es nicht "Administrator" heißt. Solltest Du aber wirklich ein eingeschränktes Konto nutzen und nur für das HijackThis in das Adminkonto gewechselt sein, dann ist es hinfällig. Windows ist einfach so programmiert, dass man immer Adminrechte hat, wenn man sich nicht speziell darum kümmert, sie nicht zu haben. Escan erzeugt eine Menge Fehlalarme, in den meisten Fällen jedenfalls. Bei dir sind wohl auch ein paar dabei, die meisten halte ich hier aber für echt. directx.exe Die ist bei dir schon eindeutig identifiziert worden. Du klammerst dich jetzt an den sehr dünnen Strohhalm, dass die Beschreibung bei Sophos nicht exakt mit den Gegebenheiten auf deinem System übereinstimmt. In der Tat stimmt sie nicht ganz, da müsste stehen, dass ein Teil des Namens, unter dem das Teil in der Registry eingetragen wird, zufällig bestimmt wird. Anscheinend haben sie sich bei Sophos damit zufrieden gegeben, einen einzigen Versuch zu machen. Du kannst die Datei ja noch mal bei Virustotal hochladen, aber das wird auch keine Entwarnung bringen, manchmal hat der Escan auch Recht. Meine Empfehlung lautet, das System platt zu machen und neu zu installieren. Außer der Backdoor (die alleine schon ein guter Grund dazu ist), sind weitere schwere Infekte festgestellt worden. Die Backdoor hat jemand anderes irgendwo auf dieser Welt zum Administrator deines Computers gemacht. Was der mit deinem System alles angestellt hat, weiss ich nicht, er hat auch kein Log hinterlassen, aus dem wir das ersehen könnten. Sicher ist nur, dass es nicht zu deinem, sondern zu seinem Vorteil geschehen ist. Schließlich ist ein Computer, den man benutzen kann, um Spam zu versenden, Server anzugreifen, usw schon was wert, kann man auch gegen Cash vermieten, den lässt man sich nicht so leicht wieder wegnehmen. |
|
25.10.2007, 19:53
| #6 | |
| | Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWinZitat:
Vielen Dank nochmal für Deine Bemühungen (und auch noch so früh am Morgen, puh!). Ich geh jetzt mal 'ne lange Liste machen... Grüße, KBL |
|
| Themen zu Trojan.Medbot-100 und Adware.BHO-13 FOUND, sagt ClamWin |
| administrator, antivirus, cyberlink, dll, einstellungen, erste mal, excel, explorer, frame, google, hijack, hijackthis, home, internet, internet explorer, konvertieren, launch, logfile, löschen, löschen?, markierung, moved, pdf, pdf-datei, programme, quara, registry, rundll, software, system, temp, virus, windows, windows xp |
Hybrid-Darstellung
