Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.10.2008, 18:46   #1
Gerald
 
Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder - Standard

Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder



Hallo,
seit gestern sagt mein AntiVir bei jedem Neustart ich hätte einen Wurm in einer Datei unter c:\WINNT\SYTEM32. Die Datei habe ich gelöscht oder gesperrt oder in Qarantäne gesteckt. Beim nächsten Systemstart kommt wieder eine, der Name wechselt und ist immer ähnlich einem wirklichen Namen einer DLL-Datei, und immer 91k groß. Habe die Datei bei Virustotal geprüft, dort kommen die aufgelisteten Namen für den Wurm.

Betriebssystem WIN2000

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.18.0 2008.10.17 -
AntiVir 7.9.0.5 2008.10.17 TR/BHO.Gen
Authentium 5.1.0.4 2008.10.17 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.17 -
BitDefender 7.2 2008.10.17 -
CAT-QuickHeal 9.50 2008.10.17 -
ClamAV 0.93.1 2008.10.17 -
DrWeb 4.44.0.09170 2008.10.17 -
eSafe 7.0.17.0 2008.10.16 Suspicious File
eTrust-Vet 31.6.6153 2008.10.17 Win32/Kvol!generic
Ewido 4.0 2008.10.17 -
F-Prot 4.4.4.56 2008.10.16 W32/Podnuha.A.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.17 -
Fortinet 3.113.0.0 2008.10.17 -
GData 19 2008.10.17 -
Ikarus T3.1.1.44.0 2008.10.17 Virus.Win32.Podnuha.BJ
K7AntiVirus 7.10.498 2008.10.17 -
Kaspersky 7.0.0.125 2008.10.17 -
McAfee 5407 2008.10.16 Boaxxe.dll
Microsoft 1.4005 2008.10.17 Trojan:Win32/Boaxxe.B
NOD32 3532 2008.10.17 -
Panda 9.0.0.4 2008.10.17 Suspicious file
PCTools 4.4.2.0 2008.10.17 -
Prevx1 V2 2008.10.17 -
Rising 20.66.42.00 2008.10.17 -
SecureWeb-Gateway 6.7.6 2008.10.17 Trojan.BHO.Gen
Sophos 4.34.0 2008.10.17 -
Sunbelt 3.1.1730.1 2008.10.17 -
Symantec 10 2008.10.17 -
TheHacker 6.3.1.0.116 2008.10.16 -
TrendMicro 8.700.0.1004 2008.10.17 -
VBA32 3.12.8.7 2008.10.16 Trojan.Win32.Boaxxe
ViRobot 2008.10.17.1425 2008.10.17 -
VirusBuster 4.5.11.0 2008.10.17 -
weitere Informationen
File size: 93184 bytes
MD5...: 6a122330990993ed55d94440bcf54528
SHA1..: 2a3e03fb4e017ac1b214abed0196b1cdf442d345
SHA256: f7e9108995cd026bc0e8911e1004b35629a88be7c885ad6a91b6dfc8c983717b
SHA512: 26eeb87345a5a26ac19e73a0b2d6f3d602623307c2658101836870445fed6c4d
621432d60225623e07644f4cbc21d6ed8a0627a2b81d15b28024c5915b48f5ee
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Win16/32 Executable Delphi generic (2.8%)
Generic Win/DOS Executable (2.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43d7c0
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x27000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x28000 0x16000 0x15a00 7.90 e4db8ff5a740276e31e15d82617240bf
.rsrc 0x3e000 0x1000 0xe00 3.77 2f321c890b6a2bb53ec6043b1bcde735

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> ole32.dll: IsEqualGUID
> oleaut32.dll: LoadTypeLib
> shell32.dll: SHGetMalloc
> user32.dll: SetTimer
> wininet.dll: InternetCrackUrlA

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, InitEntry0
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

Die HJT Liste habe ich als Anhang eingestellt, hoffe das funktioniert.
allerdings fehlen dort einige BHO's die mir verdächtig vorkammen und ich deshalb entfernt habe.
Mit Malwarebytes habe ich das System auch gescannt, es brachte folgendes Ergebnis:
Malwarebytes' Anti-Malware 1.29
Database version: 1276
Windows 5.0.2195 Service Pack 4

17.10.2008 14:10:04
mbam-log-2008-10-17 (14-10-04).txt

Scan type: Full Scan (C:\|)
Objects scanned: 101974
Time elapsed: 33 minute(s), 52 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 4
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Nach Neustart findet er die gleichen Biester wieder.

Inzwischen bin ich ratlos, weiß jemand was besseres als formattieren ?

Vielen Dank
Angehängte Dateien
Dateityp: txt hijackthis.txt (6,1 KB, 332x aufgerufen)

Alt 18.10.2008, 09:49   #2
Gerald
 
Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder - Standard

Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder



Keiner eine Idee?
Hier die HJT direkt:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:27:15, on 17.10.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\dvd43\dvd43_tray.exe
C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\WINNT\system32\faxsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Gerald\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: (no name) - {6BBB9A88-F2A5-4B6E-89C3-96CB5665804F} - C:\WINNT\system32\ctl3dv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O2 - BHO: (no name) - {FB640443-AE69-4AF1-88F7-23FD28964639} - C:\WINNT\system32\dpwsoc.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Sicherheit\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Kalenderchen.exe.lnk = C:\Programme\Kalenderchen\Kalenderchen.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: msupd_0810_upd161614.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINNT\bdoscandel.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {65EEE2E1-B8D5-4724-8489-048B551045BF} (PPI Chipcard-Browser-Plugin) - https://karte.seb-bank.de/gei/plugins/SEBChipcardPlugin1210.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINNT\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

--
End of file - 6275 bytes
__________________


Alt 20.10.2008, 17:55   #3
Gerald
 
Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder - Standard

Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder



Falls es jemand hilft, nach langem probieren habe ich die Biester jetzt wohl los.
Am Ende half folgendes:
Zuerst von Ikarus Software die Testversion des Antivit herunter geladen, mit diesem alle angebotenen 3 Scanvorgänge ausgeführt. Dabei wurden drei Dateien in den persönlichen Einstellungen gefunden welcher keiner der anderen von mir getesteten Scanner gefunden hat. Diese habe ich entfernen lassen.
Danach mit Malwarebytes die Registry säubern lassen, dieses Problem fand der Ikarus nicht. Die Dateien in System32 hatte ich vorher schon entfernt, wenn nicht anders möglich in der Dosbox.
Inzwischen habe ich den PC mehrmals durchgefahren, er scheint sauber.
__________________

Antwort

Themen zu Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder
anti-malware, antivir, browser, crypter, datei, detected, explorer, folge, gelöscht, gesperrt, ide, infected, kommt wieder, malwarebytes, namen, neustart, ratlos, shell32.dll, software, systemstart, tiere, trojan.agent, trojaner, virus, virustotal, w32/podnuha, wurm



Ähnliche Themen: Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder


  1. Mailwarebytes hat Trojan.DNSChanger entdeckt. Kommt nach Neustart immer wieder
    Plagegeister aller Art und deren Bekämpfung - 03.02.2015 (9)
  2. Hartnäckiger Registryfehler taucht nach jedem Neustart wieder auf.
    Log-Analyse und Auswertung - 12.04.2014 (1)
  3. Windows XP SP2 GVU-Trojaner-Befall bei jedem Neustart
    Log-Analyse und Auswertung - 07.11.2013 (9)
  4. Hostsdatei wird bei jedem Neustart des Rechners wieder überschrieben
    Mülltonne - 27.12.2010 (1)
  5. Backdoor.Bot ist nach jedem Neustart wieder da
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (29)
  6. Trojaner Dropper Gen der bei jedem Neustart wieder erscheint
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (1)
  7. TR/Dropper.gen, getarnt als Bildschirmschoner! Nach jedem Neustart wieder da!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (3)
  8. Desktop Security 2010 plagt meinen Laptop.Alles versuche vergeblich, kommt nach Neustart wieder.
    Plagegeister aller Art und deren Bekämpfung - 06.08.2010 (2)
  9. AV Security Suite nach Anleitung entfernt, kommt bei Neustart immer wieder
    Plagegeister aller Art und deren Bekämpfung - 16.07.2010 (2)
  10. Habe einen Trojaner der immer wieder kommt
    Plagegeister aller Art und deren Bekämpfung - 07.07.2009 (2)
  11. [Hilfe]Tronajer kommt nach neustart immer wieder!
    Log-Analyse und Auswertung - 15.04.2009 (0)
  12. Bei mir kommt Bluescreen und danach Neustart immer wieder
    Alles rund um Windows - 02.02.2009 (3)
  13. Bifrose ist bei jedem Neustart wieder in der Regitry aktiv
    Mülltonne - 05.01.2009 (0)
  14. Nach jedem Neustart wieder spyware
    Log-Analyse und Auswertung - 27.07.2008 (4)
  15. NOAdware meldet Trojaner.Skintrim kommt nach Neustart immer wieder
    Log-Analyse und Auswertung - 30.08.2007 (1)
  16. Nach jedem Neustart sind sie wieder da !?!
    Log-Analyse und Auswertung - 16.03.2006 (7)
  17. TR/Dldr.180Instal.1 kommt nach jedem Start wieder
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (6)

Zum Thema Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder - Hallo, seit gestern sagt mein AntiVir bei jedem Neustart ich hätte einen Wurm in einer Datei unter c:\WINNT\SYTEM32. Die Datei habe ich gelöscht oder gesperrt oder in Qarantäne gesteckt. Beim - Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder...
Archiv
Du betrachtest: Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.