Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Win32:Podnuha-BJ [Rtk] gefunden

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 06.01.2009, 12:49   #1
badhotrod
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Hallo!

Melde mich mal wieder, weil mein G DATA AntiVirus 2009 folgenden Fund gemeldet hat:

Trojan.Generic.975968 (Engine A), Win32:Podnuha-BJ [Rtk] (Engine B)

und zwar in einer Datei namens rjgbj.dll im Windows\System32 Ordner.

G DATA hat die Datei in Quarantäne verschoben. Würde gern wissen, ob hier jemand den Virus oder die Datei kennt?? Und ob mein System noch weitere Unannehmlichkeiten bereithält aktuell. Dazu habe ich die Datei bei VirusTotal scannen lassen und ein HijackThis Logfile erstellt, hier die Ergebnisse:

++++++++++++++++++++++++++++++++++++++++
VIRUSTOTAL Scan:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.06 Virus.Win32.Podnuha!IK
AhnLab-V3 2009.1.5.3 2009.01.06 -
AntiVir 7.9.0.45 2009.01.05 TR/BHO.Gen
Authentium 5.1.0.4 2009.01.05 W32/Trojan2.EWBK
Avast 4.8.1281.0 2009.01.05 Win32:Podnuha-BJ
AVG 8.0.0.199 2009.01.05 BHO.X
BitDefender 7.2 2009.01.06 Trojan.Generic.975968
CAT-QuickHeal 10.00 2009.01.06 Trojan.BHO.hcg
ClamAV 0.94.1 2009.01.06 -
Comodo 878 2009.01.05 TrojWare.Win32.Trojan.BHO.~DE
DrWeb 4.44.0.09170 2009.01.06 Adware.Bho.97
eTrust-Vet 31.6.6293 2009.01.06 Win32/Kvol!generic
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.05 W32/Trojan2.EWBK
F-Secure 8.0.14470.0 2009.01.06 Trojan.Win32.BHO.hfn
Fortinet 3.117.0.0 2009.01.06 W32/BHO.HFN!tr
GData 19 2009.01.06 Trojan.Generic.975968
Ikarus T3.1.1.45.0 2009.01.06 Virus.Win32.Podnuha
K7AntiVirus 7.10.576 2009.01.05 Trojan.Win32.BHO.hfn
Kaspersky 7.0.0.125 2009.01.06 Trojan.Win32.BHO.hfn
McAfee 5486 2009.01.05 Boaxxe.dll
McAfee+Artemis 5486 2009.01.05 Boaxxe.dll
Microsoft 1.4205 2009.01.06 Trojan:Win32/Boaxxe.B
NOD32 3741 2009.01.05 a variant of Win32/Rootkit.Podnuha
Norman 5.80.02 2009.01.02 W32/BHO.FXZ
Panda 9.0.0.4 2009.01.05 Generic Malware
PCTools 4.4.2.0 2009.01.05 Rootkit.Podnuha.Gen.2
Rising 21.11.12.00 2009.01.06 -
SecureWeb-Gateway 6.7.6 2009.01.05 Trojan.BHO.Gen
Sophos 4.37.0 2009.01.06 Mal/Generic-A
Sunbelt 3.2.1809.2 2008.12.22 Trojan.Win32.BHO.hfn
Symantec 10 2009.01.06 Trojan Horse
TheHacker 6.3.1.4.205 2009.01.05 Trojan/BHO.hfn
TrendMicro 8.700.0.1004 2009.01.06 -
VBA32 3.12.8.10 2009.01.05 Trojan.Win32.Boaxxe
ViRobot 2009.1.6.1546 2009.01.06 Trojan.Win32.BHO.93184.AE
VirusBuster 4.5.11.0 2009.01.05 Rootkit.Podnuha.Gen.2
weitere Informationen
File size: 93184 bytes
MD5...: b66520b19e49a2729059d6da4ab0b5a7
SHA1..: 6fa5fb648932543309769588a3c2d359f3afa40e
SHA256: 6160c323533aebfa21c13814ee717b9c640658df41cf98ed7d 7426fe4e3864b9
SHA512: 417c314717e8abc96b70d8c156639286091c7aacf162b81925 0f1aaaef0a27e5
154b97e0fd565742956665731420041c7d4a3d3026a4cc474e 1bde161d37a9fa
ssdeep: 1536H+rCSzfM1lM8q4Ue07zAnGrbtpcvKvc3VhKtc8PWvC73 FW9RmiukLDau
ehzUDdlV07zAGrJpcSvc3zhLe1WTmiV
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Win16/32 Executable Delphi generic (2.8%)
Generic Win/DOS Executable (2.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x43d650
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x27000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x28000 0x16000 0x15a00 7.90 b21545e55ec2676f06e88da9363931b1
.rsrc 0x3e000 0x1000 0xe00 3.77 7a988e7f5bef3483e0541660e731d95d

( 7 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegCloseKey
> ole32.dll: IsEqualGUID
> oleaut32.dll: LoadTypeLib
> shell32.dll: SHGetMalloc
> user32.dll: SetTimer
> wininet.dll: InternetCrackUrlA

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, InitEntry0
packers (Avast): UPX
packers (Authentium): UPX
packers (F-Prot): UPX
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b66520b19e49a2729059d6da4ab0b5a7' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b66520b19e49a2729059d6da4ab0b5a7</a>


+++++++++++++++++++++++++++++++++++++++++++
HJT Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:30:14, on 06.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
C:\Program Files\G DATA\AntiVirus\AVK\AVKService.exe
C:\Program Files\G DATA\AntiVirus\AVK\AVKWCtl.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Program Files\OO Software\DiskImage\oodiag.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\G DATA\AntiVirus\AVKTray\AVKTray.exe
C:\WINDOWS\system32\MAFWTray.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\GIGABYTE\GEST\GEST.exe
C:\Program Files\GIGABYTE\GEST\GSvr.exe
D:\MISC\uTorrent\utorrent16.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\G DATA\AntiVirus\AVK\avk.exe
C:\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = maxdome - Deutschlands größte Online-Videothek
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O1 - Hosts: # Copyright (c) 1993-1999 Microsoft Corp.
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Program Files\G DATA\AntiVirus\Webfilter\AVKWebIE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Program Files\G DATA\AntiVirus\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\MAFWTray.exe
O4 - HKLM\..\Run: [MAFWTaskbarApp] C:\WINDOWS\system32\MAFWTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/micr...?1226603186125
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - h**ps://fpdownload.macromedia.com/pu...sh/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - h**p://drmlicense.one.microsoft.com/.../en/crlocx.ocx
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft Ad-Aware\aawservice.exe
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Unknown owner - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe (file missing)
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus\AVK\AVKService.exe
O23 - Service: AntiVirus Monitor (AVKWCtl) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus\AVK\AVKWCtl.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O DiskImage - Unknown owner - C:\Program Files\OO Software\DiskImage\oodiag.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe


Malwarebyte und Spybot S&D haben beim letzten Scan nix gefunden, werd aber nochmal nen aktuellen Scan durchführen. Bitte um Feedback.

PS: Achso, ein Hinweis noch: G DATA ist in den letzten 2 Tagen dadurch 2, 3 mal aufgefallen, dass es mir eine Meldung gebracht hat, dass irgendetwas (wurde nicht angegeben) meine host-Datei und Autostart-Einträge ändern wollte, was ich stets verneinte...

Alt 07.01.2009, 08:52   #2
undoreal
/// AVZ-Toolkit Guru
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Halli hallo badhotrod

Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
  • Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme sowie personal-Firewalls wie ZoneAlarm!
    Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.
    .
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:.
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen->Sicherheit
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen" und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume mit cCleaner auf; Punkte 1&2.
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista


Fixe folgende Eintrag mit HJT:
Zitat:
O1 - Hosts: # Copyright (c) 1993-1999 Microsoft Corp.


Panda AntiRootkit

  • Lade dir bitte Panda's AntiRootkit.zip und entpacke es auf dem Desktop.
  • Starte die PAVARK.exe durch einen Doppelklick.
  • Setze für die Option In-depth Scan ein Häkchen. Der Rechner muss danach neugestartet werden damit ein Treiber installiert werden kann.
  • Starte den Scan nach dem Neustarte mit einem Klick auf Scan starten.
  • Sollten Rootkits gefunden worden sein werden sie dir im zweiten Schritt aufgelistet. Es ist unbedingt notwendig, dass wir diese Informationen erhalten!
    Kopiere bzw. tippe sie also entweder ab oder erstelle einen Screenshot und stelle uns diesen zur Verfügung.
  • Bereinige die Funde anschließend!



Blacklight


Scanne den Rechner danach zusätzlich mit Blacklight und poste das log! (C:\fsbl.log)
Evtl. Funde lasse bitte ebenfalls beheben/umbennen.


GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
__________________

__________________

Alt 07.01.2009, 11:13   #3
badhotrod
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Hallo!
Bevor ich loslege, welchen Grund hat es, alle AntiSpyware zu deinstallieren außer MBAM. Das würde ich sehr ungern tun...

Kann die im ersten Post genannte dll-Datei aus der G Data Quarantäne entgültig gelöscht werden?
__________________

Geändert von badhotrod (07.01.2009 um 11:26 Uhr)

Alt 07.01.2009, 12:33   #4
badhotrod
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



So, außer der Deinstallation von AdAware und Spybot S&D habe ich von oben alles abgearbeitet, HJT-Wert wurde gefixt.

Malwarebytes, Panda und Blacklight finden nichts (genau wie AdAware, SSD oder Sophos Anti-Rootkit)! Zusätzlich noch das Programm Simplysup Trojan Remover scannen lassen, keine Infektionen gemeldet. Security Task Manager zeigt auch nichts auffälliges.
Komisch nur, dass GMER was gefunden hat ...



Hier das Ergebnis von GMER: (welches ich nicht wirklich interpretieren kann)

"GMER has found system modification caused by ROOTKIT activity"

GMER 1.0.14.14536 - h**p://www.gmer.net
Rootkit scan 2009-01-07 12:29:00
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwClose [0xBAC193AA]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwCreateKey [0xBAC1A07A]
SSDT \??\C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes' Anti-Malware/Malwarebytes Corporation) ZwCreateSection [0xB47B5FE0]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteKey [0xBAC1A19C]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwDeleteValueKey [0xBAC1A1BE]
SSDT sptd.sys ZwEnumerateKey [0xBA6C3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xBA6C4340]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenKey [0xBAC1A102]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwOpenProcess [0xBAC192D0]
SSDT sptd.sys ZwQueryKey [0xBA6C4418]
SSDT sptd.sys ZwQueryValueKey [0xBA6C4298]
SSDT \??\C:\WINDOWS\system32\drivers\HookCentre.sys (Security Hook/G DATA Software AG) ZwSetValueKey [0xBAC1A16E]

---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2CE2 8050457E 2 Bytes [ 6C, BA ]
? C:\WINDOWS\system32\drivers\sptd.sys The process cannot access the file because it is being used by another process.
.text USBPORT.SYS!DllUnload B9D528AC 5 Bytes JMP 8A2831C8
? System32\Drivers\aaik6xfb.SYS The system cannot find the file specified. !
.text win32k.sys!EngAcquireSemaphore + 2642 BF808936 5 Bytes JMP 8A0A64D0
.text win32k.sys!EngFreeUserMem + 5502 BF80EDED 5 Bytes JMP 8A0A6430
.text win32k.sys!EngCreateBitmap + D973 BF8457BB 5 Bytes JMP 8A0A6610
.text win32k.sys!EngMultiByteToWideChar + 2F22 BF852729 5 Bytes JMP 8A0A6750
.text win32k.sys!EngStretchBlt + CCB6 BF86C8A2 3 Bytes JMP 8A0A6570
.text win32k.sys!EngStretchBlt + CCBA BF86C8A6 1 Byte [ CA ]
.text win32k.sys!FONTOBJ_pxoGetXform + 1032F BF8C3127 5 Bytes JMP 8A0A66B0
.text win32k.sys!EngFillPath + 3B8D BF8F0327 5 Bytes JMP 8A0A67F0

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6BEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6BEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6BEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6BF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6BF61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6D429A] sptd.sys

---- Devices - GMER 1.0.14 ----

Device \FileSystem\Ntfs \Ntfs 8A5D61E8

AttachedDevice \FileSystem\Ntfs \Ntfs oodisrh.sys (O&O DiskImage Snapshot/Restore Helper Driver (Win32)/O&O Software GmbH)

Device \FileSystem\Fastfat \FatCdrom 89F8A790
Device \Driver\Tcpip \Device\Ip GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip6 \Device\Ip6 GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\PCI_NTPNP5812 \Device\00000050 sptd.sys
Device \Driver\usbuhci \Device\USBPDO-0 8A2821E8
Device \Driver\usbuhci \Device\USBPDO-1 8A2821E8
Device \Driver\usbuhci \Device\USBPDO-2 8A2821E8
Device \Driver\usbehci \Device\USBPDO-3 8A289558
Device \Driver\usbuhci \Device\USBPDO-4 8A2821E8
Device \Driver\Tcpip \Device\Tcp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\usbuhci \Device\USBPDO-5 8A2821E8
Device \Driver\usbuhci \Device\USBPDO-6 8A2821E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A5D81E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 oodisr.sys (O&O DiskImage Snapshot/Restore Driver (Win32)/O&O Software GmbH)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)

Device \Driver\usbehci \Device\USBPDO-7 8A289558
Device \Driver\Cdrom \Device\CdRom0 8A21B790
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A5D81E8

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 oodisr.sys (O&O DiskImage Snapshot/Restore Driver (Win32)/O&O Software GmbH)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 ntkrnlpa.exe (NT Kernel & System/Microsoft Corporation)

Device \Driver\Cdrom \Device\CdRom1 8A21B790
Device \Driver\NetBT \Device\NetBT_Tcpip_{3A1742D5-2B1B-440C-96DA-8EA719FA798D} 8A15D728
Device \Driver\Tcpip6 \Device\RawIp6 GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip6 \Device\Tcp6 GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A15D728
Device \Driver\NetBT \Device\NetbiosSmb 8A15D728
Device \Driver\Tcpip \Device\Udp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\RawIp GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\usbuhci \Device\USBFDO-0 8A2821E8
Device \Driver\usbuhci \Device\USBFDO-1 8A2821E8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89FBA790
Device \Driver\Tcpip6 \Device\Udp6 GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\Tcpip \Device\IPMULTICAST GDTdiIcpt.sys (G DATA Software AG)
Device \Driver\usbuhci \Device\USBFDO-2 8A2821E8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89FBA790
Device \Driver\usbehci \Device\USBFDO-3 8A289558
Device \Driver\Ftdisk \Device\FtControl 8A5D81E8
Device \Driver\usbuhci \Device\USBFDO-4 8A2821E8
Device \Driver\usbuhci \Device\USBFDO-5 8A2821E8
Device \Driver\usbuhci \Device\USBFDO-6 8A2821E8
Device \Driver\usbehci \Device\USBFDO-7 8A289558
Device \Driver\aaik6xfb \Device\Scsi\aaik6xfb1Port5Path0Target0Lun0 8A1DC1E8
Device \Driver\JRAID \Device\Scsi\JRAID1 8A5D71E8
Device \Driver\aaik6xfb \Device\Scsi\aaik6xfb1 8A1DC1E8
Device \FileSystem\Fastfat \Fat 89F8A790

AttachedDevice \FileSystem\Fastfat \Fat oodisrh.sys (O&O DiskImage Snapshot/Restore Helper Driver (Win32)/O&O Software GmbH)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 89E9E790

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Pro\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xEA 0x33 0xA2 0x3D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC2 0x14 0xF8 0xFC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xC6 0x90 0x82 0x39 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xEA 0x33 0xA2 0x3D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC2 0x14 0xF8 0xFC ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xC6 0x90 0x82 0x39 ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODI03.00.00.01PRO 6ED85DC9F2D379E3AD932C954D5F723A11BBC03AAB0C1E91B69A3ADAFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC7 4CA6A0AC4980AC7933A6A0AC4980AC7933BA7FD869164D6794FEBC9E127BECC74C0576DC21C255ACD76BC6B0095E15861EE23C940D50ADD2D1CE7173C3CB0CB46B2457807BB61A1C874A1C 893D0D0E668E89DFDCABD887043B8335352635FBB56A4CF9C2C469F2D7377F793C9D8C90397174E2FCE13B7789DB7A0CBCBFE1ED4FBB2605CF229061F938B2817A35602DF28D6F86D03D6D 3A4F0FBC732E42D8EC86F09DD5B30BE3DB4070510DD95E94E429BE87BF199EE900E5C31C1E93B625F304B063F9DF4B21CD0CDA0D29D5C9B5AF19F2103876BCAE6D0100297356F457751433 EA37290388936486D996CCFE55F89E2F1DCE7122C098785B3C0DC9AD81D628C5EC034AA4DD01F19472480154899FBD898A9377ABA310C70270B920E33D6ED54AE40A5F7AE9D9033CD16818 78EA751FADF54C550B655190B425FCF26DA58C55B514AA6A9D7A590B47BB539E6A19430CD9C1F2BEC5125214C67C8BBEF4D9710291FDF9D07FDF2D9D13B2980000B44372E393B34CB73C7A BB21DED0E279FDCFDF7A6ABEDB63ED787692827E1060622467B0D6F2F88B7C2514C0766CA44EB8D391A2E674B9607ECF71CCB6FA850B4D89A03CB743244
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2F1848F6-54C7-5059-1F0C-EB4903A1DCB8}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2F1848F6-54C7-5059-1F0C-EB4903A1DCB8}@hahkmapifkpcmlpb 0x6B 0x61 0x64 0x6E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@japahmliombbkpockmfl 0x62 0x61 0x6C 0x6F ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@japahmliombbkpockmjm 0x62 0x61 0x62 0x70 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@iappaaafkgaecooaob 0x6B 0x61 0x6D 0x6F ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@hajpnalljidolgoe 0x6B 0x61 0x6D 0x6F ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@haladdjijcmaahjj 0x6B 0x61 0x63 0x62 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}@jakacmopnkffcodmfnop 0x6F 0x61 0x61 0x62 ...

---- Files - GMER 1.0.14 ----

File C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys 8576 bytes <-- ROOTKIT !!!

---- Services - GMER 1.0.14 ----

Service C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys [MANUAL] bbdosgnopyiw <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----

+++++++++++++++++++++++++++++++++++++++++++++++++++
Kurios ist, dass die Datei garnicht dazusein scheint, wollte sie grad bei Virustotal scannen lassen, ist in genannten Ordner nicht vorhanden?
+++++++++++++++++++++++++++++++++++++++++++++++++++



PS: Systemwiederherstellung ist derzeit deaktiviert. Alle Programme (v.a. alle Sicherheitsprogramme) und Hardware auf aktuellem Stand.

Geändert von badhotrod (07.01.2009 um 12:43 Uhr)

Alt 07.01.2009, 13:45   #5
undoreal
/// AVZ-Toolkit Guru
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Deinstalliere bitte AdAware und Spybot!

Die müllen die logs zu und erschweren die Suche. Außerdem würde ich dir das nicht empfehlen wenn die Programme was taugen würden.
AdAware grenzt selber an ein Fraud Tool und Spybot ist völlig veraltet.

Deinstalliere beide!

Und bitte hör auf tausend Tools laufen zu lassen. Das bringt überhaupt nichts, belastet dein System und füllt die logs die wir dann aueinander friemeln dürfen..

Deinstalliere bitte Spybot, AdAware, Spyware Doctor und sonstige Anti-Spy/Malware Programme (Simplysub usw.) sowie personal-Firewalls wie ZoneAlarm!
Installiert bleiben dürfen nur Anti-Malware oder SUPERAntiSpyware ohne Wächter.

Und poste bitte wie beschrieben alle logs! Auch wenn nichts gefunden wurde!
Wenn du dich nicht an die Empfehlungen hälst kann dir hier niemand vernünftig helfen.

Downloade dir den Avenger. Siehe weiter unten.


Starte den Rechner im abgesicherten Modus

Dienst beenden: Start -> ausführen -> cmd eintippen und #Enter# drücken Dann folgendes eingeben:
sc stop bbdosgnopyiw #Enter#
sc delete bbdosgnopyiw #Enter#
Konsole schließen.


Arbeiten mit regedit.

Start->ausführen-> " regedit " (ohne " ") eingeben und Enter drücken.

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest..

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:
HKCU\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{2F1848F6-54C7-5059-1F0C-EB4903A1DCB8}
HKCU\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{629DBACA-B9C7-277B-9E5A-C940C1B13737}

Danach lasse cCleaner dein System bereinigen. -Punkt 1 und 2 !



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.




ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.



Scanne den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.



Systemanalyse
  • Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  • Räume mit cCleaner auf. (Punkt 1 & 2)
  • Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  • Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  • Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  • Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
  • Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
  • Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
  • Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
  • Unter File -> Database Update Start drücken.
  • Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  • Im Hauptfenster den Start Button drücken.
  • Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  • Deaktiviere den AVZGuard!
  • Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (07.01.2009 um 13:54 Uhr)

Alt 07.01.2009, 20:32   #6
badhotrod
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Hallo undoreal!

Danke für Deine Tips und Hilfe! Hab jetzt den halben Tag Deine Liste abgearbeitet, hier nun die Ergebnisse.


Alles an Antispy/Sicherheitsprogrammen und Scannern entfernt. Jetzt läuft nurnoch Malwarebytes Anti-Malware (nach allen Tests und Scans Deiner To-Do-Liste jetzt wieder mit Schutzmodul...hoffe das ist richtig so?!) und G DATA AntiVirus 2009.

Habe die Liste in Deiner Rangfolge abgearbeitet CCleaner jeweils in Punkt 1+2 ausgeführt.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. PANDA ANTI-ROOTKIT
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Screenshot: h**p://www.file-upload.net/view-1363983/panda.jpg.html


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
2. BLACKLIGHT Scan
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Screenshot: h**p://www.file-upload.net/view-1363990/blacklight.jpg.html


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
3. GMER - Rootkit Detection
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile: h**p://www.file-upload.net/download-1364955/gmer-logfile.txt.html


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4. cmd Konsole
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Screenshot: h**p://www.file-upload.net/view-1364961/cmd.jpg.html


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
5. regedit
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

-> Beide Schlüssel vorhanden, jedoch nicht löschbar
-> Fehlermeldung: 'Cannot open {...}: Error while opening key'


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
6. AVENGER
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\bbdosgnopyiw.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Completed script processing.
*******************
Finished! Terminate.


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
7. COMBOFIX
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile: h**p://www.file-upload.net/download-1364975/combofix-log.txt.html


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
8. MBAM Scan
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile: h**p://www.file-upload.net/download-1364981/mbam-log-2009-01-07--18-22-07-.txt.html


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
9. AVZ Systemanalyse
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile (zip): h**p://www.file-upload.net/download-1365004/avz_sysinfo.zip.html


Wie gesagt, ich möchte Dir echt ganz doll danken, dass Du Dir die Zeit nimmst, und alles überprüfst. Leider übersteigt das meine Kompetenzen um Einiges ;-)

Alt 08.01.2009, 01:13   #7
undoreal
/// AVZ-Toolkit Guru
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Hallöle

Zitat:
jetzt wieder mit Schutzmodul...
Den Wächter bitte nicht aktivieren. Du solltest das Prog nur zum Scannen benutzen.

Überprüfe den Rechner mit dem AVP Tool.

Und Panda:


Panda Active Scan
Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 08.01.2009, 15:17   #8
badhotrod
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Hi Undoreal, hier noch die 2 Scans mit Bitte um Feedback.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~
10. AVP Tool
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile: h**p://www.file-upload.net/download-1366286/kvr_logfile.txt.html


~~~~~~~~~~~~~~~~~~~~~~~~~~~~
11. Panda Active Scan
~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile: h**p://www.file-upload.net/download-1366300/ActiveScan.txt.html


Wie ist das beim ActiveScan-Log, die Meldung mit dem Fund in
C:\System Volume Information\_restore{B828AA14-B893-4E79-A38C-DB7DA6AFD9B8}\RP2\A0001072.sys ?

Wie kann ich das entfernen? Systemwiederherstellung ist noch immer deaktiviert.

PS: Dazu mal 'ne Frage, ist diese überhaupt empfehlenswert, oder lieber doch regelmäßig 'richtige' Backups erstellen? Du sagtest, MBAM ohne Schutzmodul, nur zum scannen nutzen, wie oft ist es empfehlenswert, zu scannen (also welchen Wert rätst Du bei Autoscan Einstellungen?

:aplaus:!!!Super Support bisher!!!:aplaus:



Edit:
Allein beim Wort 'Bagle' im ActiveScan Logfile bekomm ich schon 'nen Hals ;-) Hab deshalb mal hier im Forum recherchiert, und rein informativ das das Tool 'EliBagle' scannen lassen, Ergebnis: kein Fund.
Ich hoffe, das war nicht wieder voreilig;-)
Logfile: h**p://www.file-upload.net/download-1366436/InfoSat.txt.html

Geändert von badhotrod (08.01.2009 um 15:59 Uhr)

Alt 08.01.2009, 16:26   #9
undoreal
/// AVZ-Toolkit Guru
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Du scheinst jede Menge illeag aus dem Netz zu saugen.

Daher auch der Backdoor auf deinem Rechner. Wenn du keyge.exe oder crack.exe oder nackteBabes.scr usw. auf deinem Rechner ausführst kann dich nichts und niemand vor einer Infektion schützen!

Bereinigung nach einer Kompromitierung


Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Kaspersky oder avast free.
    Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
      und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .
  • Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
    .
    Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 08.01.2009, 20:48   #10
badhotrod
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



MBR Logfile:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Trotzdem mbr.bat ausführen?

Führt jetzt nichts an einem Neuaufsetzen vorbei? ufff...

Danke für Deine Hinweise und Tips.

Alt 10.01.2009, 00:47   #11
undoreal
/// AVZ-Toolkit Guru
 
Win32:Podnuha-BJ [Rtk] gefunden - Standard

Win32:Podnuha-BJ [Rtk] gefunden



Dre MBR ist in Ordnung. Dann kannst du weitermachen den Rechner neuaufzusetzen.

Daran führt leider nicht wirklich ein Weg vorbei da der Angreifer VollZUgriff auf dein System hat. Damit kann nichts und niemand sagen wo er überall Hintertüren eingebaut hat.
Die gefährlichsten Infektionen sind die die man beseitigt zu haben glaubt aber in Wirklichkeit noch vorhanden sind..
http://oschad.de/wiki/Virenscanner
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Win32:Podnuha-BJ [Rtk] gefunden
ad-aware, adobe, antivirus, antivirus 2009, antivirus monitor, artemis, askbar, crypter, cs3, defender, explorer, firefox, g data, gigabyte, hijack, hijackthis, hijackthis logfile, internet explorer, konvertieren, logfile, malwarebytes, malwarebytes' anti-malware, monitor, mozilla, nvidia, pdf, pdf-datei, plug-in, rundll, scan, shell32.dll, sp3, system, tuneup.defrag, uleadburninghelper, windows, windows xp, windows xp sp3, ändern



Ähnliche Themen: Win32:Podnuha-BJ [Rtk] gefunden


  1. Windows Vista Home Premium Service Pack 2 Win32/Bundled.Toolbar.Google.D und Variante von Win32/OpenCandy.C mit eset online scanner gefunden
    Log-Analyse und Auswertung - 16.10.2015 (9)
  2. Win32: Malware-gen / Win32: Trojan-gen bei Routinescan mit AVAST gefunden! Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2015 (5)
  3. Rogue:Win32/Winwebsec, PWS:Win32/Fareit, Exploit:Java/CVE-2013-2423 gefunden und entfernt. Was nun?
    Log-Analyse und Auswertung - 09.06.2013 (19)
  4. Trojan.Win32.Yakes.cmpu und not-a-virus:RemoteAdmin.Win32.WinVNC.mx durch Kasperky gefunden - Vorgehen?
    Log-Analyse und Auswertung - 01.04.2013 (22)
  5. 3 Trojianer gefunden: Win32: Sirefef-AVF, JS: ScriptPE-inf, Win32: Malware-gen
    Log-Analyse und Auswertung - 02.02.2013 (4)
  6. Win32:Sirefef-AO [Rtk] (Engine B) und Win32:Malware-Gen (Engine B) gefunden!
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (3)
  7. Win32/Kryptik.ACPZ und Win32/Gataka.A gefunden
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (29)
  8. Win32:maleware-gen im Nvidia Treiber Win32.corrupt.Ag , PUA.PackedPECompact-1 Gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (0)
  9. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  10. Bedrohung gefunden 1. Win32:MalOb-BR (Cryp) 2.Win32:SkiMorph (Cryp)
    Log-Analyse und Auswertung - 09.08.2010 (5)
  11. Win32:Podnuha-BJ [Rtk] gefunden
    Mülltonne - 06.01.2009 (0)
  12. Rootkit.Win32.Podnuha.bhm lässt sich nicht löschen.
    Mülltonne - 26.11.2008 (0)
  13. Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (2)
  14. Win32:Trojan-gen, Win32:Rootkit-gen, Win32:Adware-gen gefunden!
    Log-Analyse und Auswertung - 14.07.2008 (1)
  15. Win32:BHO-KD und Win32:Trojano-3384 Trojanern gefunden: Sie lassen sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 15.01.2008 (1)
  16. NOD32 hat Win32/Adware.UCmore und Win32/ServU-Daemon auf E: gefunden!
    Plagegeister aller Art und deren Bekämpfung - 18.04.2006 (7)
  17. Win32.agent.dw gefunden
    Log-Analyse und Auswertung - 23.02.2006 (1)

Zum Thema Win32:Podnuha-BJ [Rtk] gefunden - Hallo! Melde mich mal wieder, weil mein G DATA AntiVirus 2009 folgenden Fund gemeldet hat: Trojan.Generic.975968 (Engine A), Win32:Podnuha-BJ [Rtk] (Engine B) und zwar in einer Datei namens rjgbj.dll im - Win32:Podnuha-BJ [Rtk] gefunden...
Archiv
Du betrachtest: Win32:Podnuha-BJ [Rtk] gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.