Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig.

NikiG. · 01.09.2008, 23:01

Zitat:

Zitat von undoreal

Sind alle Blacklight Funde ohne Probleme umbenannt worden?

Ich denke schon. Es kam zumindest keine Fehlermeldung und ich konnte auch sonst keine Anzeichen entdecken, das dies nicht der Fall sei.

Hier ist Log vom Navilog1:

Code:

ATTFilter

Search Navipromo version 3.6.5 began on 01.09.2008 at 23:51:02,57

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Niki" 

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Niki\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Niki\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Niki\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Niki\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Niki\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 01.09.2008 at 23:58:07,09 ***

undoreal · 02.09.2008, 06:28

Folge bitte dieser Anleitung und poste alle logs.

Und suche wie in meiner Signatur beschrieben wird nach: omieoaq
Lösche alle Funde.

Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

NikiG. · 02.09.2008, 11:09

Zitat:

Zitat von undoreal

Folge bitte dieser Anleitung und poste alle logs.

Bei den RootKits hatte ich mehrere Probleme beim Runterladen der Dateien.

1. Ist beim AVG das AVG Antivirus das richtige, weil der Link bringt mich nicht direkt zu .exe Datei. Also ist Hier das linke das richtige?
2. Beim Bitdefender ist der Link zum Bitdefender Antirootkit-ß down.

Vielen Dank im voraus
Gruß Niki

undoreal · 02.09.2008, 11:35

AVG Anti-Rootkit

Bitdefender gibt es momentan scheinbar nicht mehr...

NikiG. · 02.09.2008, 12:20

Rootkit Revealer:

Code:

ATTFilter

HKU\.DEFAULT\Control Panel\International	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\S-1-5-21-1202660629-1580436667-725345543-1003\Control Panel\International	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\S-1-5-21-1202660629-1580436667-725345543-1003\Control Panel\International\Geo	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\S-1-5-21-1202660629-1580436667-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*	05.06.2007 21:14	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo	01.09.2008 22:17	0 bytes	Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*	10.12.2006 15:02	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	10.12.2006 15:03	0 bytes	Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg	07.04.2008 17:29	0 bytes	Access is denied.
C:\ ATI	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\ATI	02.06.16508 00:11	0 bytes	Hidden from Windows API.
C:\ATI\ .	17.09.1620 11:34	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\ATI\ ..	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\ 3C83474D61E624A4F9844DF935AFE217	01.01.1601 05:49	569 bytes	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\3C83474D61E624A4F9844DF935AFE217	02.06.16508 00:12	569 bytes	Hidden from Windows API.
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\ 3C83474D61E624A4F9844DF935AFE217	01.01.1601 09:30	142 bytes	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\3C83474D61E624A4F9844DF935AFE217	02.06.16508 00:12	142 bytes	Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	24.04.2008 19:11	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	24.04.2008 19:11	111.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll	24.04.2008 19:11	8.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\ fdc.PNF	01.01.1601 09:30	7.77 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\ flpydisk.PNF	01.01.1601 09:30	8.30 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\ msdv.PNF	01.01.1601 05:49	38.13 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\ oem7.PNF	15.11.1620 11:00	362.16 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\fdc.PNF	02.06.16508 00:02	7.77 KB	Hidden from Windows API.
C:\WINDOWS\inf\flpydisk.PNF	02.06.16508 00:02	8.30 KB	Hidden from Windows API.
C:\WINDOWS\inf\msdv.PNF	02.06.16508 00:12	38.13 KB	Hidden from Windows API.
C:\WINDOWS\inf\oem7.PNF	02.06.16508 00:12	362.16 KB	Hidden from Windows API.
C:\WINDOWS\PCHEALTH\ ERRORREP	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP	02.06.16508 00:02	0 bytes	Hidden from Windows API.
C:\WINDOWS\PCHEALTH\ERRORREP\ .	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP\ ..	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP\ UserDumps	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP\UserDumps	02.06.16508 00:03	0 bytes	Hidden from Windows API.
C:\WINDOWS\PCHEALTH\ERRORREP\UserDumps\ .	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP\UserDumps\ ..	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ IKERNEL.EXE-1ED7DD43.pf	15.11.1620 11:00	64.25 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ NMIndexStoreSvr.exe-28939A55.pf	17.09.1620 06:48	31.79 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ OSA.EXE-2A196FE2.pf	17.09.1620 06:48	15.61 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ REGSVR32.EXE-396DEA2C.pf	17.09.1620 06:48	32.38 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ VERCLSID.EXE-28F52AD2.pf	01.01.1601 09:30	16.15 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ WSCNTFY.EXE-0B14C27D.pf	01.01.1601 09:30	7.49 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\IKERNEL.EXE-1ED7DD43.pf	02.06.16508 00:12	64.25 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\NMIndexStoreSvr.exe-28939A55.pf	02.06.16508 00:04	31.79 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\OSA.EXE-2A196FE2.pf	02.06.16508 00:04	15.61 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf	02.06.16508 00:10	32.38 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\VERCLSID.EXE-28F52AD2.pf	02.06.16508 00:09	16.15 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\WSCNTFY.EXE-0B14C27D.pf	02.06.16508 00:13	7.49 KB	Hidden from Windows API.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\ bfeee528-c675-4290-b264-544e8b0d9e54	01.01.1601 09:30	388 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\bfeee528-c675-4290-b264-544e8b0d9e54	02.06.16508 00:02	388 bytes	Hidden from Windows API.
C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\ CX_48640.PNF	01.01.1601 09:30	362.16 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\CX_48640.PNF	02.06.16508 00:12	362.16 KB	Hidden from Windows API.
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\ CX_48640.PNF	01.01.1601 09:30	362.16 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\CX_48640.PNF	02.06.16508 00:12	362.16 KB	Hidden from Windows API.
D:\Programme\Setupdateien\ 7-6_xp_dd_48640.exe	23.01.1622 02:11	14.22 MB	Visible in Windows API, but not in MFT or directory index.
D:\Programme\Setupdateien\7-6_xp_dd_48640.exe	02.06.16508 00:09	14.22 MB	Hidden from Windows API.

Blacklight:

Code:

ATTFilter

09/02/08 12:34:15 [Info]: BlackLight Engine 1.0.70 initialized
09/02/08 12:34:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/02/08 12:34:15 [Note]: 7019 4
09/02/08 12:34:15 [Note]: 7005 0
09/02/08 12:34:17 [Note]: 7006 0
09/02/08 12:34:17 [Note]: 7011 1432
09/02/08 12:34:17 [Note]: 7035 0
09/02/08 12:34:18 [Note]: 7026 0
09/02/08 12:34:18 [Note]: 7026 0
09/02/08 12:34:19 [Note]: FSRAW library version 1.7.1024
09/02/08 12:53:23 [Note]: 7007 0

Sophos:

Code:

ATTFilter

Sophos Anti-Rootkit Version 1.3.1 (data 1.08)  (c) 2006 Sophos Plc
Started logging on 02.09.2008 at 12:55:07
Stopped logging on 02.09.2008 at 12:58:04

NikiG. · 02.09.2008, 12:23

GMER (muss ich auf 2 Posts verteilen):

Code:

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-02 13:08:50
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT      sphp.sys                                                                                                   ZwCreateKey [0xF73DF0E0]
SSDT      sphp.sys                                                                                                   ZwEnumerateKey [0xF73FCCA2]
SSDT      sphp.sys                                                                                                   ZwEnumerateValueKey [0xF73FD030]
SSDT      sphp.sys                                                                                                   ZwOpenKey [0xF73DF0C0]
SSDT      sphp.sys                                                                                                   ZwQueryKey [0xF73FD108]
SSDT      sphp.sys                                                                                                   ZwQueryValueKey [0xF73FCF88]
SSDT      sphp.sys                                                                                                   ZwSetValueKey [0xF73FD19A]
SSDT      \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xAE620F20]

INT 0x62  ?                                                                                                          8676DBF8
INT 0x73  ?                                                                                                          867DBBF8
INT 0x82  ?                                                                                                          8676DBF8
INT 0x84  ?                                                                                                          8612CF00
INT 0xA4  ?                                                                                                          8612CF00
INT 0xB1  ?                                                                                                          867DBBF8
INT 0xB1  ?                                                                                                          867DBBF8
INT 0xB4  ?

NikiG. · 02.09.2008, 12:25

Code:

ATTFilter

---- Kernel code sections - GMER 1.0.14 ----

?         sphp.sys                                                                                                   Das System kann die angegebene Datei nicht finden. !
.text     USBPORT.SYS!DllUnload                                                                                      F6A5A62C 5 Bytes  JMP 8612C4E0 
.text     ajhrlym4.SYS                                                                                               F6993384 1 Byte  [ 20 ]
.text     ajhrlym4.SYS                                                                                               F6993386 35 Bytes  [ 00, 68, 00, 00, 00, 00, 00, ... ]
.text     ajhrlym4.SYS                                                                                               F69933AA 24 Bytes  [ 00, 00, 20, 00, 00, E0, 00, ... ]
.text     ajhrlym4.SYS                                                                                               F69933C4 3 Bytes  [ 00, 00, 00 ]
.text     ajhrlym4.SYS                                                                                               F69933C9 1 Byte  [ 00 ]
.text     ...                                                                                                        
?         System32\Drivers\ab40i2zs.SYS                                                                              Das System kann die angegebene Datei nicht finden. !
?         C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS                                                                Das System kann die angegebene Datei nicht finden. !
?         C:\WINDOWS\system32\EC.tmp                                                                                 Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text     C:\WINDOWS\system32\wscntfy.exe[1260] kernel32.dll!LoadLibraryA                                            7C801D77 5 Bytes  JMP 10003090 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] kernel32.dll!LoadLibraryA                                                    7C801D77 5 Bytes  JMP 10003090 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!sendto                                                            71A12C69 5 Bytes  JMP 10002D10 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!recvfrom                                                          71A12D0F 5 Bytes  JMP 10002CA0 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!bind                                                              71A13E00 5 Bytes  JMP 10003020 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!connect                                                           71A1406A 5 Bytes  JMP 10002DA0 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!send                                                              71A1428A 5 Bytes  JMP 10002AA0 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!gethostbyname                                                     71A14FD4 5 Bytes  JMP 10002D70 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!listen                                                            71A188D3 5 Bytes  JMP 10002A60 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!closesocket                                                       71A19639 5 Bytes  JMP 10003060 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\Explorer.EXE[1432] WS2_32.dll!accept                                                            71A21028 5 Bytes  JMP 10002F30 C:\WINDOWS\system32\sockspy.dll
.text     C:\Programme\Analog Devices\Core\smax4pnp.exe[2092] kernel32.dll!LoadLibraryA                              7C801D77 5 Bytes  JMP 00923090 C:\WINDOWS\system32\sockspy.dll
.text     C:\Programme\Java\jre1.6.0_07\bin\jusched.exe[2104] kernel32.dll!LoadLibraryA                              7C801D77 5 Bytes  JMP 10003090 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE[2132] kernel32.dll!LoadLibraryA                   7C801D77 5 Bytes  JMP 10003090 C:\WINDOWS\system32\sockspy.dll
.text     C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[2192] KERNEL32.dll!LoadLibraryA                  7C801D77 5 Bytes  JMP 10003090 C:\WINDOWS\system32\sockspy.dll
.text     C:\WINDOWS\system32\rundll32.exe[2212] kernel32.dll!LoadLibraryA                                           7C801D77 5 Bytes  JMP 10003090 C:\WINDOWS\system32\sockspy.dll
.text     ...                                                                                                        
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!sendto                                           71A12C69 5 Bytes  JMP 10002D10 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!recvfrom                                         71A12D0F 5 Bytes  JMP 10002CA0 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!bind                                             71A13E00 5 Bytes  JMP 10003020 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!connect                                          71A1406A 5 Bytes  JMP 10002DA0 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!send                                             71A1428A 5 Bytes  JMP 10002AA0 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!gethostbyname                                    71A14FD4 5 Bytes  JMP 10002D70 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!listen                                           71A188D3 5 Bytes  JMP 10002A60 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!closesocket                                      71A19639 5 Bytes  JMP 10003060 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Rainlendar2\Rainlendar2.exe[2376] WS2_32.dll!accept                                           71A21028 5 Bytes  JMP 10002F30 C:\WINDOWS\system32\sockspy.dll
.text     C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[2528] KERNEL32.dll!LoadLibraryA                  7C801D77 5 Bytes  JMP 10003090 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\ObjectDock\ObjectDock.exe[2584] kernel32.dll!LoadLibraryA                                     7C801D77 5 Bytes  JMP 00373090 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] kernel32.dll!LoadLibraryA                                   7C801D77 5 Bytes  JMP 10003090 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!sendto                                           71A12C69 5 Bytes  JMP 10002D10 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!recvfrom                                         71A12D0F 5 Bytes  JMP 10002CA0 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!bind                                             71A13E00 5 Bytes  JMP 10003020 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!connect                                          71A1406A 5 Bytes  JMP 10002DA0 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!send                                             71A1428A 5 Bytes  JMP 10002AA0 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!gethostbyname                                    71A14FD4 5 Bytes  JMP 10002D70 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!listen                                           71A188D3 5 Bytes  JMP 10002A60 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!closesocket                                      71A19639 5 Bytes  JMP 10003060 C:\WINDOWS\system32\sockspy.dll
.text     D:\Programme\Mozilla Firefox\firefox.exe[3712] WS2_32.dll!accept                                           71A21028 5 Bytes  JMP 10002F30 C:\WINDOWS\system32\sockspy.dll

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT       atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                         [F73E0040] sphp.sys
IAT       atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                 [F73E013C] sphp.sys
IAT       atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                        [F73E00BE] sphp.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                [F73E07FC] sphp.sys
IAT       atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                        [F73E06D2] sphp.sys
IAT       \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                         [F73EFD92] sphp.sys
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!KfAcquireSpinLock]                                       0A64D90F
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!READ_PORT_UCHAR]                                         046FD406
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!KeGetCurrentIrql]                                        1672C31D
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!KfRaiseIrql]                                             1879CE14
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!KfLowerIrql]                                             3248ED2B
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!HalGetInterruptVector]                                   3C43E022
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!HalTranslateBusAddress]                                  2E5EF739
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!KeStallExecutionProcessor]                               2055FA30
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!KfReleaseSpinLock]                                       EC01B79A
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!READ_PORT_BUFFER_USHORT]                                 E20ABA93
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!READ_PORT_USHORT]                                        F017AD88
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                FE1CA081
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[HAL.dll!WRITE_PORT_UCHAR]                                        D42D83BE
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[WMILIB.SYS!WmiSystemControl]                                     C83B99AC
IAT       \SystemRoot\System32\Drivers\ajhrlym4.SYS[WMILIB.SYS!WmiCompleteRequest]                                   C63094A5

---- Devices - GMER 1.0.14 ----

Device    \FileSystem\Ntfs \Ntfs                                                                                     867D71F8
Device    \Driver\usbuhci \Device\USBPDO-0                                                                           86183500
Device    \Driver\dmio \Device\DmControl\DmIoDaemon                                                                  867D91F8
Device    \Driver\dmio \Device\DmControl\DmConfig                                                                    867D91F8
Device    \Driver\dmio \Device\DmControl\DmPnP                                                                       867D91F8
Device    \Driver\dmio \Device\DmControl\DmInfo                                                                      867D91F8
Device    \Driver\usbuhci \Device\USBPDO-1                                                                           86183500
Device    \Driver\usbuhci \Device\USBPDO-2                                                                           86183500
Device    \Driver\usbuhci \Device\USBPDO-3                                                                           86183500
Device    \Driver\usbehci \Device\USBPDO-4                                                                           86180500
Device    \Driver\sptd \Device\3784307466                                                                            sphp.sys
Device    \Driver\Ftdisk \Device\HarddiskVolume1                                                                     8676E1F8
Device    \Driver\Ftdisk \Device\HarddiskVolume2                                                                     8676E1F8
Device    \Driver\Cdrom \Device\CdRom0                                                                               863051F8
Device    \Driver\Cdrom \Device\CdRom1                                                                               863051F8
Device    \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                               8676D1F8
Device    \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                8676D1F8
Device    \Driver\atapi \Device\Ide\IdePort0                                                                         8676D1F8
Device    \Driver\atapi \Device\Ide\IdePort1                                                                         8676D1F8
Device    \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                                8676D1F8
Device    \Driver\Cdrom \Device\CdRom2                                                                               863051F8
Device    \Driver\NetBT \Device\NetBt_Wins_Export                                                                    85D211F8
Device    \Driver\NetBT \Device\NetbiosSmb                                                                           85D211F8
Device    \Driver\PCI_PNP6216 \Device\0000004d                                                                       sphp.sys
Device    \Driver\PCI_PNP6216 \Device\0000004d                                                                       sphp.sys
Device    \Driver\PCI_PNP6216 \Device\0000004e                                                                       sphp.sys
Device    \Driver\PCI_PNP6216 \Device\0000004e                                                                       sphp.sys
Device    \Driver\usbuhci \Device\USBFDO-0                                                                           86183500
Device    \Driver\usbuhci \Device\USBFDO-1                                                                           86183500
Device    \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                          85CD61F8
Device    \Driver\usbuhci \Device\USBFDO-2                                                                           86183500
Device    \FileSystem\MRxSmb \Device\LanmanRedirector                                                                85CD61F8
Device    \Driver\usbuhci \Device\USBFDO-3                                                                           86183500
Device    \Driver\usbehci \Device\USBFDO-4                                                                           86180500
Device    \Driver\Ftdisk \Device\FtControl                                                                           8676E1F8
Device    \Driver\ajhrlym4 \Device\Scsi\ajhrlym41                                                                    86168500
Device    \Driver\viamraid \Device\Scsi\viamraid1                                                                    867D81F8
Device    \Driver\ab40i2zs \Device\Scsi\ab40i2zs1Port3Path0Target0Lun0                                               8628C500
Device    \Driver\ab40i2zs \Device\Scsi\ab40i2zs1                                                                    8628C500
Device    \Driver\sptd \Device\3784151216                                                                            sphp.sys
Device    \FileSystem\Cdfs \Cdfs                                                                                     86148500

---- Registry - GMER 1.0.14 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd50206b                                
Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd50206b@001813a4e603                   0xB0 0x1E 0x51 0x73 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                         910824612
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                         -185178309
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                         2
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                           
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                        D:\Programme\Alcohol 120\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                        1
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                     0xF7 0xC2 0xBD 0x23 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                  
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                           
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                        0
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                     0x3C 0x3D 0xE2 0xFD ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                        D:\Programme\DAEMON Tools\
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                  
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0               0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh            0xE6 0xCE 0x9C 0x71 ...
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40            
Reg       HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh      0x4D 0x71 0x92 0x07 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                               
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                            D:\Programme\DAEMON Tools\
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                            0
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                         0x18 0x56 0x12 0xC7 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                      
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                   0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                0xE6 0xCE 0x9C 0x71 ...
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                
Reg       HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh          0xF7 0x2D 0xAF 0x56 ...
Reg       HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\0009dd50206b                                    
Reg       HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\0009dd50206b@001813a4e603                       0xB0 0x1E 0x51 0x73 ...
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04                               
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0                            D:\Programme\Alcohol 120\
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0                            1
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew                         0xF7 0xC2 0xBD 0x23 ...
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001                      
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0                   0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                               
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                            0
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                         0x3C 0x3D 0xE2 0xFD ...
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                            D:\Programme\DAEMON Tools\
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                      
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                   0x20 0x01 0x00 0x00 ...
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                0xE6 0xCE 0x9C 0x71 ...
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                
Reg       HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh          0x4D 0x71 0x92 0x07 ...

---- EOF - GMER 1.0.14 ----

undoreal · 02.09.2008, 12:51

Also so ganz sauber ist der Rechner nicht. Ich würde dir raten ihn neuaufzsetzten...

NikiG. · 02.09.2008, 13:28

Zitat:

Zitat von undoreal

Also so ganz sauber ist der Rechner nicht. Ich würde dir raten ihn neuaufzsetzten...

Ich poste die weiteren Logs trotzdem ma, wenn ich sie jetzt schon angefertigt habe:

AVG:

Code:

ATTFilter

Path: C:\WINDOWS\System32\Drivers\awqznwwf.SYS	Description: Hidden driver filePath: C:\WINDOWS\System32\Drivers\awqznwwf.SYS	Description: Hidden driver file

TrendMicro:

Code:

ATTFilter

+----------------------------------------------------
| Trend Micro RootkitBuster 
| Module version: 2.2.0.1014
+----------------------------------------------------


--== Dump Hidden MBR and Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

Panda Anti-Rootkit:
Screenshot

undoreal · 02.09.2008, 13:29

Die AVG und Rootkit Revealer Funde machen mir Sorge...

Ist deine Eintscheidung: Weitermachen oder sicher neuaufsetzten?

NikiG. · 02.09.2008, 13:47

Zitat:

Zitat von undoreal

Die AVG und Rootkit Revealer Funde machen mir Sorge...

Ist deine Eintscheidung: Weitermachen oder sicher neuaufsetzten?

Wenn du meinst Formatieren ist die bessere Lösung, dann mach ich das auch.

Ich hab 2 Partitionen, eine (C) fürs Windows und paar Programme und eine andere (D) für Filme, Musik, Spiele. Langt es dann wenn ich nur die C formatiere und des Windows neu aufsetzen oder muss ich beide Partitionen neu machen?

Gruß Niki

undoreal · 02.09.2008, 13:59

Weise Entscheidung!

Bereinigung nach einer Kompromitierung

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

NikiG. · 02.09.2008, 14:27

Okay, dann möchte ich mich ausdrücklich für die herzliche und vor allem effektive Unterstützung bis hier hin bedanken.
Ich finde es echt toll, dass es so ein Forum gibt, wo einem so gut geholfen wird. Chapeau.

02.09.2008, 11:35	#19
undoreal /// AVZ-Toolkit Guru	Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig. AVG Anti-Rootkit Bitdefender gibt es momentan scheinbar nicht mehr... __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

02.09.2008, 12:51	#23
undoreal /// AVZ-Toolkit Guru	Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig. Also so ganz sauber ist der Rechner nicht. Ich würde dir raten ihn neuaufzsetzten... __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto Geändert von undoreal (02.09.2008 um 13:17 Uhr)

02.09.2008, 13:29	#25
undoreal /// AVZ-Toolkit Guru	Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig. Die AVG und Rootkit Revealer Funde machen mir Sorge... Ist deine Eintscheidung: Weitermachen oder sicher neuaufsetzten? __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig.

Plagegeister aller Art und deren Bekämpfung: Virus (Trojan Vundo.DVS??) eingefangen - Internet funktioniert nicht mehr richtig.