Hallo,
mein Vater hat sich auf irgendwelchen Seiten (ich weiss nicht welche :P) sich ein paar "Viren" eingefangen HiJack This spuckt ein paar unbekannte und auch gefährliche .dll's aus!
Wenn ich diese per HiJack This fixe, kommen sie beim erneuten scannen mit HJT wieder(Allerdings habe ich ein paar Prozesse im Task-Manager, die mir komisch vorkamen beendet, und schon läuft das Internet schneller und man wird nicht mehr auf kostenpflichtige Seiten weitergeleitet)

Zudem, wenn ich die .dll's manuell löschen will, und in den Ordner gehe(Windows.0\system32\zenemure.dll",s) sind dort die angegebenen .dll's nicht???

Weiss jemand was zu tun ist?
HJT - Logfile kommt im Anhang

Ausgewertet habe ich es auch schon, aber wie gesagt sie kommen nach erneutem Scannen wieder und ich finde sie nicht!

Und nicht vergessen:" Der Optimist sieht in einem Problem eine Aufgabe, der Pessimist sieht in einer Aufgabe ein Problem"


MfG





Da es per Anhang nicht geht:


Logfile of HijackThis v1.99.1
Scan saved at 13:44:10, on 28.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {fbb320ae-9c81-439b-a9b7-ec643abdc2b5} - C:\WINDOWS.0\system32\debeviva.dll
O4 - HKLM\..\Run: [CPM100623d3] Rundll32.exe "c:\windows.0\system32\wudiyopi.dll",a
O4 - HKLM\..\Run: [1335104f] rundll32.exe "C:\WINDOWS.0\system32\kelinepe.dll",b
O4 - HKLM\..\Run: [runoziyuda] Rundll32.exe "C:\WINDOWS.0\system32\zenemure.dll",s
O4 - Startup: ChkDisk.lnk = ?
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O20 - AppInit_DLLs: c:\windows.0\system32\wudiyopi.dll,C:\WINDOWS.0\system32\beromavu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\wudiyopi.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

Hi,

das Windows ist schon mal überbügelt worden...
Lass MAM los, das wenige was da läuft sind auch schon die Viecher...

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.
Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp

Fixe dann:
(Fast alles ;o)...

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {fbb320ae-9c81-439b-a9b7-ec643abdc2b5} - C:\WINDOWS.0\system32\debeviva.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - HKLM\..\Run: [CPM100623d3] Rundll32.exe "c:\windows.0\system32\wudiyopi.dll",a
O4 - HKLM\..\Run: [1335104f] rundll32.exe "C:\WINDOWS.0\system32\kelinepe.dll",b
O4 - HKLM\..\Run: [runoziyuda] Rundll32.exe "C:\WINDOWS.0\system32\zenemure.dll",s
O20 - AppInit_DLLs: c:\windows.0\system32\wudiyopi.dll,C:\WINDOWS.0\sy stem32\beromavu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows.0\system32\wudiyopi.dll
         

Das hier bei Virustotal prüfen lassen:
c:\programme\bonjour\mdnsnsp.dll
Falls erkannt nicht löschen, sonst geht das Internet nicht mehr...

chris (jetzt beim Abendessen, und danach faul-auf-der-Haut-liegen)

Hallo,

Hier der neue HJT Logfile den anderen hat er verworfen, weil er den pc neustarten musste wegen 3 .dll files ...




Logfile of HijackThis v1.99.1
Scan saved at 20:35:54, on 28.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\ADMINI~1\protect.dll,_IWMPEvents@16
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe




MfG

Hi,

noch den Log von MAM posten...


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\DOKUME~1\ADMINI~1\protect.dll
c:\programme\bonjour\mdnsnsp.dll
C:\WINDOWS.0\System32\ChkDisk.dll
oder
C:\WINDOWS.0\ChkDisk.dll <- ggf. suchen
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also, falls die beiden erkannt worden sind, die mit dem falschen Pfad unten rausnehmen und abfackeln:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\DOKUME~1\ADMINI~1\protect.dll
C:\WINDOWS.0\System32\ChkDisk.dll <- ggf. Pfad korregieren!
C:\WINDOWS.0\ChkDisk.dll <- ggf. Pfad korregieren!
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\ADMINI~1\protect.dll,_IWMPEvents@16
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
         

Du hast u. a. einen Wurm auf dem Rechner...

Danach noch mal MAM updaten laufen lassen, Log posten und
Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

Chris

hier schon mal der Log von MaM.

Der Rest kommt nachher




Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

29.04.2009 14:47:51
mbam-log-2009-04-29 (14-47-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 161630
Laufzeit: 17 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS.0\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\protect.dll (Trojan.Agent) -> Delete on reboot.

















Virustotal (habe einfach alles kopiert sry wenn falsch ):

c:\programme\bonjour\mdnsnsp.dll:

Ergebnis: 0/40 (0%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.29 -
AhnLab-V3 5.0.0.2 2009.04.29 -
AntiVir 7.9.0.156 2009.04.29 -
Antiy-AVL 2.0.3.1 2009.04.29 -
Authentium 5.1.2.4 2009.04.29 -
Avast 4.8.1335.0 2009.04.28 -
AVG 8.5.0.287 2009.04.29 -
BitDefender 7.2 2009.04.29 -
CAT-QuickHeal 10.00 2009.04.29 -
ClamAV 0.94.1 2009.04.29 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.29 -
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6482 2009.04.29 -
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.29 -
Fortinet 3.117.0.0 2009.04.29 -
GData 19 2009.04.29 -
Ikarus T3.1.1.49.0 2009.04.29 -
K7AntiVirus 7.10.719 2009.04.29 -
Kaspersky 7.0.0.125 2009.04.29 -
McAfee 5599 2009.04.28 -
McAfee+Artemis 5599 2009.04.28 -
McAfee-GW-Edition 6.7.6 2009.04.29 -
Microsoft 1.4602 2009.04.29 -
NOD32 4042 2009.04.29 -
Norman 6.00.06 2009.04.28 -
nProtect 2009.1.8.0 2009.04.29 -
Panda 10.0.0.14 2009.04.28 -
PCTools 4.4.2.0 2009.04.29 -
Prevx1 3.0 2009.04.29 -
Rising 21.27.22.00 2009.04.29 -
Sophos 4.41.0 2009.04.29 -
Sunbelt 3.2.1858.2 2009.04.28 -
Symantec 1.4.4.12 2009.04.29 -
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.29 -
VBA32 3.12.10.3 2009.04.29 -
ViRobot 2009.4.29.1715 2009.04.29 -
VirusBuster 4.6.5.0 2009.04.28 -
weitere Informationen
File size: 147456 bytes
MD5...: 0e3e56064e162ee9cc48698355098301
SHA1..: 30919f80695ce956ef416f2a50bded17c7a00e22
SHA256: cc9f77f3e3a489b9d4dc7b5108c53267231c5038e64f7b4eac7e209991d53d1f
SHA512: f3df33af55af7d8af6eb35637cf3fb67b5203b3c01d578413590d9db02c9bc3a
e16f5ca9462ce1fc041d449b6991910a9b1b02f56c7c8562f6e1ed193fd89a22
ssdeep: 3072:L7vLg2wlHeo16OwlLi4qsx64FfJLj5dh:PvLwco1TwJq7
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x525c
timedatestamp.....: 0x48a4b78c (Thu Aug 14 22:54:04 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19922 0x1a000 6.65 e035522b528777758b534cbf7d462792
.rdata 0x1b000 0x30b8 0x4000 4.64 8b9b0956e62bbc28202059c016403f85
.data 0x1f000 0x2cd4 0x2000 1.41 57cd202616461946b44f274f19774948
.rsrc 0x22000 0x3ec 0x1000 3.72 7434459ffc6608071614b62f11465170
.reloc 0x23000 0x120a 0x2000 4.58 f4db845a7eb4ae75800168d02c21f4a5

( 2 imports )
> WS2_32.dll: WSAEventSelect, WSAStringToAddressA, -, WSCUnInstallNameSpace, WSCInstallNameSpace, -
> KERNEL32.dll: GetStartupInfoA, CompareStringW, CompareStringA, SetEndOfFile, GetTimeZoneInformation, GetLocaleInfoW, HeapSize, GetModuleFileNameW, GetLastError, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, FreeLibrary, DeleteCriticalSection, InterlockedDecrement, SetLastError, WaitForSingleObject, WaitForMultipleObjects, CreateEventA, WideCharToMultiByte, GetSystemDirectoryA, GetProcAddress, LoadLibraryA, InitializeCriticalSection, InterlockedIncrement, LocalAlloc, LocalFree, InterlockedExchange, RaiseException, HeapFree, HeapReAlloc, HeapAlloc, GetCurrentThreadId, GetCommandLineA, GetVersionExA, GetProcessHeap, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, HeapDestroy, HeapCreate, VirtualFree, FatalAppExitA, VirtualAlloc, RtlUnwind, SetHandleCount, GetStdHandle, GetFileType, SetEnvironmentVariableA, GetModuleHandleA, ExitProcess, WriteFile, GetModuleFileNameA, GetCPInfo, GetACP, GetOEMCP, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, GetCurrentThread, Sleep, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, MultiByteToWideChar, ReadFile, SetConsoleCtrlHandler, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, IsValidCodePage, CreateFileA, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW

( 4 exports )
DllRegisterServer, DllUnregisterServer, NSPCleanup, NSPStartup
PDFiD.: -
RDS...: NSRL Reference Data Set





C:\DOKUME~1\ADMINI~1\protect.dll:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.29 Trojan-Spy.Win32.Agent!IK
AhnLab-V3 5.0.0.2 2009.04.29 Win-Trojan/Agent.24064.JM
AntiVir 7.9.0.156 2009.04.29 TR/Crypt.IL
Antiy-AVL 2.0.3.1 2009.04.29 -
Authentium 5.1.2.4 2009.04.29 -
Avast 4.8.1335.0 2009.04.28 Win32:Rootkit-gen
AVG 8.5.0.287 2009.04.29 BackDoor.Generic11.HUH
BitDefender 7.2 2009.04.29 Trojan.Crypt.IL
CAT-QuickHeal 10.00 2009.04.29 Trojan.Agent.ATV
ClamAV 0.94.1 2009.04.29 -
Comodo 1141 2009.04.29 -
DrWeb 4.44.0.09170 2009.04.29 Trojan.Alupko.31
eSafe 7.0.17.0 2009.04.27 -
eTrust-Vet 31.6.6482 2009.04.29 Win32/Droplet.FV
F-Prot 4.4.4.56 2009.04.29 -
F-Secure 8.0.14470.0 2009.04.29 Trojan-Spy.Win32.Agent.amjg
Fortinet 3.117.0.0 2009.04.29 PossibleThreat
GData 19 2009.04.29 Trojan.Crypt.IL
Ikarus T3.1.1.49.0 2009.04.29 Trojan-Spy.Win32.Agent
K7AntiVirus 7.10.719 2009.04.29 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.04.29 Trojan-Spy.Win32.Agent.amjg
McAfee 5599 2009.04.28 -
McAfee+Artemis 5599 2009.04.28 Artemis!1859A363D98B
McAfee-GW-Edition 6.7.6 2009.04.29 Trojan.Crypt.IL
Microsoft 1.4602 2009.04.29 TrojanDropper:Win32/Opachki.A
NOD32 4042 2009.04.29 Win32/Rootkit.Agent.NIZ
Norman 6.00.06 2009.04.28 -
nProtect 2009.1.8.0 2009.04.29 Trojan-Spy/W32.Agent.24064.I
Panda 10.0.0.14 2009.04.28 Trj/CI.A
PCTools 4.4.2.0 2009.04.29 -
Prevx1 3.0 2009.04.29 Medium Risk Malware
Rising 21.27.22.00 2009.04.29 Trojan.Win32.Nodef.idj
Sophos 4.41.0 2009.04.29 Mal/UnkPack-Fam
Sunbelt 3.2.1858.2 2009.04.28 -
Symantec 1.4.4.12 2009.04.29 Trojan Horse
TheHacker 6.3.4.1.317 2009.04.29 -
TrendMicro 8.950.0.1092 2009.04.29 -
VBA32 3.12.10.3 2009.04.29 Trojan-Spy.Win32.Agent.alnq
ViRobot 2009.4.29.1715 2009.04.29 Trojan.Win32.Agent.24064.AY
VirusBuster 4.6.5.0 2009.04.28 -
weitere Informationen
File size: 24064 bytes
MD5...: 1859a363d98b374bf91f6e68ff0e5406
SHA1..: 321e68674726f4a7f8fbce55dd969ed8f5eaed6b
SHA256: 7c6546d4a4b49186624a33501ea468a7249b0fa9e25fc72386ad5b3e1bffbc1f
SHA512: 35733c58ad8b81a52aaeeef6c7fad2f9c162678af8c59ad603f219e8ba7fb147
ca6b610a1e2d1b9e954dab1eed7d3341b6c2bee540e29650c01e60c90ee1079f
ssdeep: 384:7nYa6qxpxKHJUAWsz/F5qoE+QeA9UTi9xVz2RzDT2QRfcL:7nZxKpUAWsh5x
1A9FHCzDTzhi
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2df0
timedatestamp.....: 0x49d8a81f (Sun Apr 05 12:46:23 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.bss 0x1000 0x241 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x2000 0x4e4e 0x5000 6.36 10b581997c0f2150759f17a5a8447c53
.rsrc 0x7000 0x428 0x600 2.34 b1d9e9269f8ed3244be56023dee0d076
.reloc 0x8000 0x3b8 0x400 5.83 e59e45758dccb7b336138bc891a51998

( 7 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA, GetModuleHandleA, GetFileAttributesA, SetFileAttributesA, DeleteFileA, GetShortPathNameA, ExpandEnvironmentStringsA, GetModuleFileNameA, MultiByteToWideChar, CreateFileA, lstrlenA, VirtualAllocEx, lstrcatA, GetEnvironmentVariableA, CloseHandle, ReadFile, GetFileSize, WriteFile, SetFilePointer, HeapAlloc, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, ReadProcessMemory, VirtualFreeEx, GetVolumeInformationA, WriteProcessMemory
> USER32.dll: DispatchMessageA, TranslateMessage, GetMessageA, SetWindowsHookExA, CallNextHookEx, wsprintfA
> ADVAPI32.dll: RegCloseKey, RegCreateKeyExA, RegSetValueExA
> SHELL32.dll: SHGetPathFromIDListA, SHGetSpecialFolderLocation, SHGetMalloc
> ole32.dll: CoCreateInstance
> WS2_32.dll: -, -
> SHLWAPI.dll: StrStrA

( 6 exports )
_IWMPEvents@16, calloc, free, malloc, memmove, realloc
PDFiD.: -
RDS...: NSRL Reference Data Set



C:\WINDOWS.0\System32\ChkDisk.dll

existiert nirgendswo, weder in windows.0 noch in windows.0\system32










MfG

Hi,

hast Du mit virustotal vor oder nach MAM gearbeitet?
Wenn vorher OK, wenn nachher (nach MAM) hat das Löschen nicht geklappt (protect.dll), dann bitte sofort Avenger hinterherjagen, bevor sich was Neues runterlädt...

chris

hi,

ich habe als erstes mam drüber laufen lassen, danach den .txt hier gepostet, anschliessend mit virustotal die zwei .dll's geprüft, dann sofort hinterher mit avenger den protect.dll löschen lassen und den pc rebootet.
Hoffe das war alles richtig so...
Leider habe ich kein avenger.txt auf meiner C festplatte drauf?


Gefunden :P

Hier ist er:



Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "ovfsthetaetkyxjolidmdbwqjqasbpxtoerfvm" found!
ImagePath: \systemroot\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
Start Type: 1 (System)

Rootkit scan completed.


Error: file "C:\WINDOWS.0\System32\ChkDisk.dll" not found!
Deletion of file "C:\WINDOWS.0\System32\ChkDisk.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



MfG

Hi,

schau mal unter C:\avenger, dort müssten Backupdateien existieren...
Bitte noch ein neues HJ-Log...

chris

Hier ist der HJT Log:


Logfile of HijackThis v1.99.1
Scan saved at 15:24:36, on 29.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS.0\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c985ca63aedee4) (gupdate1c985ca63aedee4) - Unknown owner - C:\Programme\Google\Update\GoogleUpdate.exe" /svc (file missing)
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe




Nach Pc neustart nachdem ich avenger ausgeführt habe


MfG

Hi,

ein Rootkit....

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

hi,

ich finde unter dem D-Load Lionk leider keine Datei zum downloaden...
(ich weiss ich bin dumm)


MfG


€dit:
habe es mir nun extern herunter geladen, mache gerade einen Scan bericht folgt






GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-04-29 15:35:26
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

Code 86589388 ZwEnumerateKey
Code 86588358 ZwFlushInstructionCache
Code 865895C6 IofCallDriver
Code 8658B52E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E3D45 5 Bytes JMP 865895CB
.text ntoskrnl.exe!IofCompleteRequest 804E418A 5 Bytes JMP 8658B533
PAGE ntoskrnl.exe!ZwEnumerateKey 8056F76A 5 Bytes JMP 8658938C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 805769AB 5 Bytes JMP 8658835C
? vakvkuwk.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS.0\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS.0\System32\Drivers\SPTD9197.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F774CDB2] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F776271E] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762032] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F774CF6E] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F774CE06] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F773FA32] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F773FB6E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F773FAF6] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F77406CC] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F77405A2] sptd.sys
IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys
IAT \WINDOWS.0\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F7751F78] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7761C82] sptd.sys
IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 863A1EB0
Device \FileSystem\Fastfat \FatCdrom 8678D788
Device \Driver\NetBT \Device\NetBT_Tcpip_{C1054B05-BCA1-4933-B1F3-3511990CE4E2} 86435D18
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8678DEB0
Device \Driver\dmio \Device\DmControl\DmConfig 8678DEB0
Device \Driver\dmio \Device\DmControl\DmPnP 8678DEB0
Device \Driver\dmio \Device\DmControl\DmInfo 8678DEB0
Device \Driver\Ftdisk \Device\HarddiskVolume1 8678D0E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8678D0E8
Device \Driver\Cdrom \Device\CdRom0 8632F918
Device \FileSystem\Rdbss \Device\FsWrap 863590E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8678D0E8
Device \Driver\Cdrom \Device\CdRom1 8632F918
Device \Driver\NetBT \Device\NetBt_Wins_Export 86435D18
Device \Driver\NetBT \Device\NetbiosSmb 86435D18
Device \Driver\Disk \Device\Harddisk0\DR0 8678DA40
Device \Driver\Disk \Device\Harddisk1\DR1 8678DA40
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 864B2C20
Device \FileSystem\MRxSmb \Device\LanmanRedirector 864B2C20
Device \FileSystem\Npfs \Device\NamedPipe 86436C20
Device \Driver\Ftdisk \Device\FtControl 8678D0E8
Device \FileSystem\Msfs \Device\Mailslot 86696630
Device \FileSystem\Fastfat \Fat 8678D788
Device \FileSystem\Cdfs \Cdfs 8655E208

---- Files - GMER 1.0.15 ----

File C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
File C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll
File C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat
File C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll
File C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll
File C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat

---- EOF - GMER 1.0.15 ----



Ist das richtig so?

Hi,

hat keiner gesagt:
guckst Du auf der Seite findet Du Downloadlink hier:
www.gmer.net/files <- das ist der Link

Auf der GmerPage dann "Download exe", es wird ein zufälliger Name generiert, den und den Downloadpfad merken, eventuelle Meldungen von Avira & Co. zulassen (d. h. die Exe als ungefährlich zulassen), dann GMER starten....

Das Problem bei sowas, ist, solange Du im Internet bist, kann das Teil fleißig nachladen und wir kommen keinen Schritt weiter...

chris

was meinst du mit:"
Das Problem bei sowas, ist, solange Du im Internet bist, kann das Teil fleißig nachladen und wir kommen keinen Schritt weiter..."

Heisst das ich soll den Stecker vom Router ziehen und dann den Scan machen oder was meinst du?

Im Moment bin ich nur auf dieser Seite (trojanerBoard) und gerade auf gmer.net...
ansonsten nirgendwo


MfG

Hi,

ja, nur das Rootkit (der Treiber/Dienst mit dem elendslangennamen) ist wahrscheinlich neben Dir auch im Internet zu Gange und lädt fleissig unbemerkt nette kleine Tierchen nach...
Daher unbedingt GMER durchführen (und dabei raus aus dem Internet), dann
wieder rein und Log posten...

chris

hi,

Habe nun deinen Rat befolgt, habe den Router(Internetzugang) gekappt und den Scan mit GMER durchgeführt.
Dies kam dabei Raus:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-04-29 15:47:18
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

Code 86589388 ZwEnumerateKey
Code 86588358 ZwFlushInstructionCache
Code 865895C6 IofCallDriver
Code 8658B52E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E3D45 5 Bytes JMP 865895CB
.text ntoskrnl.exe!IofCompleteRequest 804E418A 5 Bytes JMP 8658B533
PAGE ntoskrnl.exe!ZwEnumerateKey 8056F76A 5 Bytes JMP 8658938C
PAGE ntoskrnl.exe!ZwFlushInstructionCache 805769AB 5 Bytes JMP 8658835C
? vakvkuwk.sys Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS.0\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS.0\System32\Drivers\SPTD9197.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F774CDB2] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F776271E] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IofCallDriver] [F774D482] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F774D3B2] sptd.sys
IAT dmio.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F774D2B6] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762032] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F774CF6E] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F774CE06] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F773FA32] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F773FB6E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F773FAF6] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F77406CC] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F77405A2] sptd.sys
IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys
IAT \WINDOWS.0\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F7751F78] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7761C82] sptd.sys
IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7762864] sptd.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F7761C76] sptd.sys
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F773F020] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 863A1EB0
Device \FileSystem\Fastfat \FatCdrom 8678D788
Device \Driver\NetBT \Device\NetBT_Tcpip_{C1054B05-BCA1-4933-B1F3-3511990CE4E2} 86435D18
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8678DEB0
Device \Driver\dmio \Device\DmControl\DmConfig 8678DEB0
Device \Driver\dmio \Device\DmControl\DmPnP 8678DEB0
Device \Driver\dmio \Device\DmControl\DmInfo 8678DEB0
Device \Driver\Ftdisk \Device\HarddiskVolume1 8678D0E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8678D0E8
Device \Driver\Cdrom \Device\CdRom0 8632F918
Device \FileSystem\Rdbss \Device\FsWrap 863590E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8678D0E8
Device \Driver\Cdrom \Device\CdRom1 8632F918
Device \Driver\NetBT \Device\NetBt_Wins_Export 86435D18
Device \Driver\NetBT \Device\NetbiosSmb 86435D18
Device \Driver\Disk \Device\Harddisk0\DR0 8678DA40
Device \Driver\Disk \Device\Harddisk1\DR1 8678DA40
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 864B2C20
Device \FileSystem\MRxSmb \Device\LanmanRedirector 864B2C20
Device \FileSystem\Npfs \Device\NamedPipe 86436C20
Device \Driver\Ftdisk \Device\FtControl 8678D0E8
Device \FileSystem\Msfs \Device\Mailslot 86696630
Device \FileSystem\Fastfat \Fat 8678D788
Device \FileSystem\Cdfs \Cdfs 8655E208

---- Files - GMER 1.0.15 ----

File C:\WINDOWS.0\system32\drivers\ovfsthsoidpyvbqhosvdfomipoklnmbyftarlb.sys
File C:\WINDOWS.0\system32\ovfsthsiebwwnesrrgxyeymqkfulkriechkbum.dll
File C:\WINDOWS.0\system32\ovfsthosltmvfxtunrlervimopexnkpqjgfcfu.dat
File C:\WINDOWS.0\system32\ovfsthvlwhgilspybhsiekecwtaewrimihweei.dll
File C:\WINDOWS.0\system32\ovfsthrojqudyrktrmhgktpeqiqnmqyawpjkwr.dll
File C:\WINDOWS.0\system32\ovfsthwvphlawjwyfvvtvmbpbxnsabflwtpvok.dat

---- EOF - GMER 1.0.15 ----





Meines erachtens nach nicht viel anders als der vorherige, aber ich habe davon auch null Ahnung.
Ich verlasse mich da ganz auf die spezialisten des trojaner Boards


MfG