| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: setup.exe blockiertWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
03.06.2008, 08:29
| #1 | |
  |  setup.exe blockiert Hi, voll erwischt; Wenn schon zweifelhafte Quellen, dann vorher online prüfen lassen! Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Ergebnisse mit Filename, nicht erkannte Files unten rausnehmen (Avenger/HJ)! Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Mpk.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Update
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|94d0754d
HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus
Files to delete:
C:\WINDOWS\system32\scvhost.exe
C:\Programme\VAV\vav.exe
C:\WINDOWS\system32\rsrvabru.dll
C:\WINDOWS\system32\csjgitae.dll
C:\Programme\KGB\Mpk.exe
4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Code:
ATTFilter O24 - Desktop Component 0: (no name) -
O18 - Filter hijack: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingRep ort.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingRep ort.dll
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Policies\Explorer\Run: [Mpk.exe] C:\Programme\KGB\Mpk.exe
O4 - HKLM\..\Run: [94d0754d] rundll32.exe "C:\WINDOWS\system32\rsrvabru.dll",b
O4 - HKLM\..\Run: [BM97e346d1] Rundll32.exe "C:\WINDOWS\system32\csjgitae.dll",s
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O3 - Toolbar: (no name) - {7b3b29e7-3696-45d4-b59c-48f2803b3e36} - (no file)
Art
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix Antimalewarebyte: http://www.trojaner-board.de/51187-a...i-malware.html Poste alle Logs und ein neues HJ-Log... Chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
03.06.2008, 09:49
| #2 | |
 | setup.exe blockiertZitat:
ich hab jetzt die Files gescannt jetzt werde ich gleich "The Avenger" starten rsrvabrv.dll: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 - Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 - AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.02 - ClamAV 0.92.1 2008.06.02 - DrWeb 4.44.0.09170 2008.06.03 - eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5844 2008.06.03 - Ewido 4.0 2008.06.02 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 - GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 - McAfee 5308 2008.06.02 - Microsoft 1.3604 2008.06.03 - NOD32v2 3153 2008.06.03 Win32/Adware.Virtumonde Norman 5.80.02 2008.06.02 - Panda 9.0.0.4 2008.06.02 - Prevx1 V2 2008.06.03 Fraudulent Security Program Rising 20.47.11.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.02 - Webwasher-Gateway 6.6.2 2008.06.03 Win32.Malware.gen!90 (suspicious) weitere Informationen File size: 95232 bytes MD5...: fea4331b2193221270f890a93e5aec96 SHA1..: ec78827fe262f9320773bead777e541ffe0a8b37 SHA256: 2b2250c00f92621940daffad99121567affdaed348ce90813634955faf77cb22 SHA512: 5173058a01ee1816aa973a6cde2844fbcf4beb71f999687c4cc3def1378098f3 1c70795358612cfe85eee862b2bbe6c57addc259bbd12d3a3c8436a01f12e56f PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x100016b8 timedatestamp.....: 0x42c19298 (Tue Jun 28 18:10:32 2005) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5000 0x4800 2.54 966495f8964a4d9a43e8022b451c1760 .data 0x6000 0x2c000 0x10400 7.95 cdf0bc94993b83695409c80090437d10 .rdata 0x32000 0x1000 0xc00 6.02 3dc6f3e278f2106c5f96f880bff1182f .rsrc 0x33000 0x1000 0xc00 4.40 7619709af006852fab73382cf8108a4b .reloc 0x34000 0x1000 0xc00 1.40 5a5b1542c6f7be1f6b5baa386783c48a ( 4 imports ) > GDI32.DLL: CreateBitmapIndirect, GetWindowOrgEx, DescribePixelFormat, GdiSetPixelFormat, GetObjectA, GdiConvertAndCheckDC, GetTextFaceW, GdiCreateLocalEnhMetaFile, GetStretchBltMode, GetRgnBox, SetPolyFillMode, ExtEscape, GdiPlayJournal, GdiEntry1, SelectBrushLocal, ChoosePixelFormat, IntersectClipRect, AddFontResourceA, EnumICMProfilesA, GdiReleaseLocalDC, RealizePalette, GetMetaRgn, SetICMProfileW, GetViewportOrgEx, CopyMetaFileA, CopyMetaFileW, PolylineTo, GdiGetBatchLimit, GdiGetCharDimensions, OffsetClipRgn, BitBlt, CopyEnhMetaFileA, SetTextJustification, GdiConvertMetaFilePict, EqualRgn > KERNEL32.DLL: FlushInstructionCache, OpenSemaphoreW, DisconnectNamedPipe, GetConsoleAliasesLengthA, VirtualAlloc, OutputDebugStringW, GetConsoleTitleW, SetProcessWorkingSetSize, GetNamedPipeHandleStateW, WriteConsoleOutputW, ExitProcess, _hread, SetThreadAffinityMask, QueueUserAPC > OLE32.DLL: CoGetObject, OleCreateMenuDescriptor, CreateOleAdviseHolder, HBITMAP_UserMarshal, CreateFileMoniker, WdtpInterfacePointer_UserUnmarshal, OleConvertIStorageToOLESTREAM, CreateILockBytesOnHGlobal, CoTaskMemAlloc, WriteFmtUserTypeStg, CoRegisterMallocSpy, MonikerCommonPrefixWith, IsValidInterface, DoDragDrop, CoGetInterfaceAndReleaseStream, STGMEDIUM_UserUnmarshal, EnableHookObject, CoQueryClientBlanket, CoMarshalInterface, WriteStringStream, CLIPFORMAT_UserUnmarshal, OleCreateStaticFromData, HGLOBAL_UserUnmarshal, UtGetDvtd32Info, WriteClassStg, HPALETTE_UserUnmarshal, OleDuplicateData, OleCreateLink > OLEAUT32.DLL: VARIANT_UserFree, VarUI2FromR4, VarUI2FromR8, VarBoolFromI2, VarR8FromUI4, VarI1FromBool, VarI1FromCy, VarCyFromR4, SafeArrayDestroyData, RevokeActiveObject, VarUI2FromStr, VarDateFromI1, VarI4FromI2, DllGetClassObject, SafeArrayAccessData, VarR8FromDisp, VarR4FromI1, GetErrorInfo, VarDecFromUI1, VarI2FromBool, VarI2FromStr, SafeArrayPutElement, DispGetParam ( 0 exports ) csjgitae.dll: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.5.30.1 2008.06.03 - AntiVir 7.8.0.26 2008.06.03 - Authentium 5.1.0.4 2008.06.02 - Avast 4.8.1195.0 2008.06.03 - AVG 7.5.0.516 2008.06.03 - BitDefender 7.2 2008.06.03 - CAT-QuickHeal 9.50 2008.06.02 - ClamAV 0.92.1 2008.06.02 - DrWeb 4.44.0.09170 2008.06.03 - eSafe 7.0.15.0 2008.06.02 - eTrust-Vet 31.4.5844 2008.06.03 - Ewido 4.0 2008.06.02 - F-Prot 4.4.4.56 2008.06.02 - F-Secure 6.70.13260.0 2008.06.03 - Fortinet 3.14.0.0 2008.06.03 - GData 2.0.7306.1023 2008.06.03 - Ikarus T3.1.1.26.0 2008.06.03 - Kaspersky 7.0.0.125 2008.06.03 - McAfee 5308 2008.06.02 - Microsoft 1.3604 2008.06.03 - NOD32v2 3153 2008.06.03 - Norman 5.80.02 2008.06.02 W32/Virtumonde.WOU Panda 9.0.0.4 2008.06.02 - Prevx1 V2 2008.06.03 Fraudulent Security Program Rising 20.47.11.00 2008.06.03 - Sophos 4.29.0 2008.06.03 - Sunbelt 3.0.1143.1 2008.06.03 - Symantec 10 2008.06.03 - TheHacker 6.2.92.332 2008.06.03 - VBA32 3.12.6.7 2008.06.03 - VirusBuster 4.3.26:9 2008.06.02 - Webwasher-Gateway 6.6.2 2008.06.03 Win32.Malware.gen!90 (suspicious) weitere Informationen File size: 104448 bytes MD5...: 0cd9dc5d7482cac5195857e51c0a7f80 SHA1..: e560ea6317a5ef16ac53473d2ab53a0745b25c2b SHA256: 5d5e98519534ffbabbaf56c971546feb32394587d4b3afd59576499284a2def9 SHA512: 263938443be2ffd7f7f058356fc07a66249f6f2f94c70ba4a432a04dfa6f7fc9 50f266a4f94ec467a60911f049ff822fa2f95356d363c45334c6c680b2f155ad PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10001718 timedatestamp.....: 0x413604db (Wed Sep 01 17:20:27 2004) machinetype.......: 0x14c (I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x5000 0x4c00 2.01 91f3f42940885c8110c355e875127bee .data 0x6000 0x35000 0x12800 7.96 0a38529b91da0dbd65c8b4bcae6f0b27 .rdata 0x3b000 0x1000 0xc00 4.97 e9bb5f0c867fe874894510cae0fc9753 .rsrc 0x3c000 0x1000 0x1000 4.51 edc0bc96c76b21a08f57e4522c7db024 .reloc 0x3d000 0x1000 0x400 2.62 767a97efc487a97cb1c3385400717dc4 ( 3 imports ) > GDI32.DLL: GetObjectType, GetMetaRgn, GdiComment, GetTextCharset, GdiGetBatchLimit, bInitSystemAndFontsDirectoriesW, PolyPatBlt, PlayEnhMetaFileRecord, ExtTextOutA, GetPath, CreateScalableFontResourceW, SetViewportOrgEx, GetNearestColor, RectInRegion, CreateColorSpaceA, GdiEntry2, CloseFigure, AddFontResourceTracking, GetStockObject, CreateFontW, CreateEnhMetaFileA, GetCharWidthA, SetICMProfileA, GdiGetCharDimensions > KERNEL32.DLL: VirtualLock, SetConsoleTextAttribute, SetConsoleCtrlHandler, ReadFileEx, GetModuleFileNameW, BackupWrite, GetNumberFormatA, GetDateFormatW, SetConsoleDisplayMode, LocalCompact, TryEnterCriticalSection, IsDebuggerPresent, OutputDebugStringA, GetDriveTypeW, RtlFillMemory, SetConsoleNumberOfCommandsW, FatalExit, DebugBreak, WriteConsoleW, EnumTimeFormatsA, PeekNamedPipe, VirtualAlloc, VirtualFreeEx, SetConsoleMenuClose, GetDiskFreeSpaceExW, GlobalReAlloc, AddConsoleAliasA, GetPrivateProfileStringW, OpenProfileUserMapping, SetSystemTime, ExitProcess, WriteFileEx, EnumCalendarInfoA, GlobalAddAtomW, SetLocaleInfoW, QueryPerformanceCounter, EnumResourceTypesA > OLE32.DLL: CoQueryAuthenticationServices, CreateAntiMoniker, CoRegisterPSClsid, SNB_UserFree, CreateILockBytesOnHGlobal, StringFromCLSID, CoLockObjectExternal, HACCEL_UserFree, StgSetTimes, OleCreateFromDataEx, HMETAFILEPICT_UserMarshal, CoCopyProxy, ProgIDFromCLSID, RegisterDragDrop, OleRegGetMiscStatus ( 0 exports ) hab jetzt anvenger gestartet, hier das logfile: ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 2) Tue Jun 03 10:52:37 2008 10:52:32: Error: Invalid registry syntax in command: "HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program. Skipping line. (Registry value deletion mode) 10:52:37: Error: Execution aborted by user! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: file "C:\WINDOWS\system32\scvhost.exe" not found! Deletion of file "C:\WINDOWS\system32\scvhost.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\Programme\VAV\vav.exe" deleted successfully. File "C:\WINDOWS\system32\rsrvabru.dll" deleted successfully. File "C:\WINDOWS\system32\csjgitae.dll" deleted successfully. File "C:\Programme\KGB\Mpk.exe" deleted successfully. Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\SomeBadDriver" not found! Deletion of driver "SomeBadDriver" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Mpk.exe" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Mpk.exe" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Update" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Update" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" deleted successfully. Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|94d0754d" deleted successfully. Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Geändert von matthias_90 (03.06.2008 um 10:05 Uhr) |
|
03.06.2008, 10:25
| #3 |
| | setup.exe blockiert Hi,
__________________Du musst bei den Scripten aufpassen, dass sich keine Leerzeichen einschleichen, z. B. "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n|Mpk.exe" (hier bei Ru n); das bitte korregieren und nochmal durchlaufen lassen (das Löschen der Registry-Keys); Leerzeichen werden im Forum absichtlich "dazwischen" geschoben"... Dann weiter verfahren wie angegeben... chris
__________________ |
|
03.06.2008, 11:02
| #4 |
| | setup.exe blockiert der Registryeintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Antivirus" funktioniert mit Avenger nicht, nur HKEY_LOCAL_MACHINE Geändert von matthias_90 (03.06.2008 um 11:13 Uhr) |
|
03.06.2008, 12:09
| #5 |
| | setup.exe blockiert Hi, ja, isch weis ;o)... Bitte noch fixen mit HJ und combofix.log, sowie AntiMalewareByte... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
03.06.2008, 16:30
| #6 |
| | setup.exe blockiert ich hab jetzt das ganze soweit bis combofix erldedigt. jetzt geht wieder alles, nur stellt er immernoch eine Verbindung zu dieser Seite auf. werd jetzt noch antimalware installieren. werd nacher noch das combofix logfile posten achja und nochmal DANKE Geändert von matthias_90 (03.06.2008 um 16:55 Uhr) |
|
03.06.2008, 18:48
| #7 |
| | setup.exe blockiert Hi, mach das; Wenn wir den Ursprung der Verbindung nicht finden, probieren wir erst DSS aus und danach TCPView... DSS: Folge dieser Anleitung und poste die zwei Logs... Anleitung zu Deckard’s System Scanner - Forum - CHIP Online chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu setup.exe blockiert |
| antivirus, blockiert, browser, central, compare, desktop, drivers, firefox, google, hijack, hijackthis, home, internet, internet explorer, internet security, ip-adresse, limewire, locker, manuel, mozilla, mozilla firefox, rundll, scan, security, server, software, system, updates, usb, virus, windows, windows xp |
Hybrid-Darstellung
