| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
03.09.2009, 08:29
| #1 |
 |  GMER-log Hallo, nachdem ich alle Daten auf 13 DVDs gesichert habe (externe Festplatten sind hier in Russland wahnsinnig teuer), konnte ich nun endlich GMER durchlaufen lassen. Beim ersten Versuch wollte ich die Laufwerke C und D durchsuchen lassen, doch nach 40 Min. hat sich Windows nach einem schwerwiegenden Systemfehler neugestartet. Daraufhin habe ich dann GMER nur C durchsuchen lassen, was relativ schnell ging und mir folgenden Log ausgespuckt hat (leider mit Rootkit-Fund  ):Code:
ATTFilter GMER 1.0.15.15077 [wqew7rip.exe] - h**p://www.gmer.net
Rootkit scan 2009-09-03 14:17:16
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT F8C57EAE ZwCreateKey
SSDT F8C57EA4 ZwCreateThread
SSDT F8C57EB3 ZwDeleteKey
SSDT F8C57EBD ZwDeleteValueKey
SSDT F8C57EC2 ZwLoadKey
SSDT F8C57E90 ZwOpenProcess
SSDT F8C57E95 ZwOpenThread
SSDT F8C57ECC ZwReplaceKey
SSDT F8C57EC7 ZwRestoreKey
SSDT F8C57EB8 ZwSetValueKey
SSDT F8C57E9F ZwTerminateProcess
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] wfccfw <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@DisplayName System Helper
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw@Description ????????????? ????????? ???????, ????? ??? ??????????? ? Windows, ? ???? ? ????????? ? ?????? ??????????????. ?????????? ??????????? ?? ??????? ''COM+ ????????? ???????'', ???????? ??????????.
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\wfccfw\Parameters@ServiceDll C:\WINDOWS\system32\sqccyf.dll
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@!\0045\4B\0045\0042\4>\49\4 \0000\0044\0040\4?\4B\0045\4@\4 \0001\0003\09\0004 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0L\0002\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0T\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0P\0P\0P\0o\0E\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\37\4@\4O\4<\4>\49\4 \0?\0040\4@\0040\4;\4;\0045\4;\4L\4=\4K\49\4 \0?\4>\4@\4B\4 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0W\0A\0N\0 \0(\0I\0P\0) 1?
Reg HKLM\SYSTEM\ControlSet002\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions@\34\48\4=\48\4?\4>\4@\4B\4 \0?\4;\0040\4=\48\4@\4>\0042\4I\48\4:\0040\4 \0?\0040\4:\0045\4B\4>\0042\4 1?2?
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@DisplayName System Helper
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw@Description ????????????? ????????? ???????, ????? ??? ??????????? ? Windows, ? ???? ? ????????? ? ?????? ??????????????. ?????????? ??????????? ?? ??????? ''COM+ ????????? ???????'', ???????? ??????????.
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\wfccfw\Parameters@ServiceDll C:\WINDOWS\system32\sqccyf.dll
---- EOF - GMER 1.0.15 ----
Danke fuer die Hilfe! Sonja |
|
03.09.2009, 18:07
| #2 | |
  |  Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Lade mal diese Datei:
__________________Zitat:
__________________ |
|
03.09.2009, 18:23
| #3 |
| | smlogsvc.exe - Virustotal-Report Here we go...
__________________Code:
ATTFilter
File smlogsvc.exe received on 2009.09.03 17:11:55 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 0/41 (0%)
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.09.03 -
AhnLab-V3 5.0.0.2 2009.09.03 -
AntiVir 7.9.1.8 2009.09.03 -
Antiy-AVL 2.0.3.7 2009.09.03 -
Authentium 5.1.2.4 2009.09.03 -
Avast 4.8.1335.0 2009.09.03 -
AVG 8.5.0.409 2009.09.03 -
BitDefender 7.2 2009.09.03 -
CAT-QuickHeal 10.00 2009.09.02 -
ClamAV 0.94.1 2009.09.03 -
Comodo 2196 2009.09.03 -
DrWeb 5.0.0.12182 2009.09.03 -
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6718 2009.09.03 -
F-Prot 4.5.1.85 2009.09.03 -
F-Secure 8.0.14470.0 2009.09.03 -
Fortinet 3.120.0.0 2009.09.03 -
GData 19 2009.09.03 -
Ikarus T3.1.1.72.0 2009.09.03 -
Jiangmin 11.0.800 2009.09.03 -
K7AntiVirus 7.10.835 2009.09.03 -
Kaspersky 7.0.0.125 2009.09.03 -
McAfee 5730 2009.09.03 -
McAfee+Artemis 5730 2009.09.03 -
McAfee-GW-Edition 6.8.5 2009.09.03 -
Microsoft 1.5005 2009.09.03 -
NOD32 4392 2009.09.03 -
Norman 6.01.09 2009.09.02 -
nProtect 2009.1.8.0 2009.09.03 -
Panda 10.0.2.2 2009.09.03 -
PCTools 4.4.2.0 2009.09.03 -
Prevx 3.0 2009.09.03 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.03 -
Sunbelt 3.2.1858.2 2009.09.02 -
Symantec 1.4.4.12 2009.09.03 -
TheHacker 6.3.4.3.396 2009.09.03 -
TrendMicro 8.950.0.1094 2009.09.03 -
VBA32 3.12.10.10 2009.09.03 -
ViRobot 2009.9.3.1916 2009.09.03 -
VirusBuster 4.6.5.0 2009.09.03 -
Additional information
File size: 91648 bytes
MD5...: 0122a6025e708fd8c60bf041dffd933f
SHA1..: 213e2308a69a44f7247ecce8056f99a28dc26b1c
SHA256: 95cfa43b380d158c33f36075701a7f9d439fb0a139e4a1e068a3885ebf98f520
ssdeep: 1536:vS2t2mgA1b0GyMw1V0oAjGw97Qime5l7l+aK3xGgss8UwYqu:vtvePyG0E9
4l+amGgss8Qqu
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x9963
timedatestamp.....: 0x41107b42 (Wed Aug 04 05:59:30 2004)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1064e 0x10800 6.47 7dc4278423b780c246709e70479497cb
.data 0x12000 0x2394 0xa00 4.06 27291e4880e6429386c21d058f932a90
.rsrc 0x15000 0x4e90 0x5000 4.00 445084bf64afd5d139623fdc0002820f
( 7 imports )
> ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, ReportEventW, RegSetValueExW, SetServiceStatus, RegEnumKeyExW, QueryTraceW, CreateProcessAsUserW, UpdateTraceW, DeregisterEventSource, RegisterServiceCtrlHandlerW, StartServiceCtrlDispatcherW, RegisterEventSourceW, ControlService, CloseServiceHandle, OpenServiceW, OpenSCManagerW, StopTraceW, EnableTrace, StartTraceW, WmiNotificationRegistrationW
> KERNEL32.dll: FormatMessageW, LoadLibraryW, lstrcpyW, HeapFree, lstrlenW, HeapAlloc, GetProcessHeap, CloseHandle, GetLastError, CreateFileW, SetErrorMode, ExpandEnvironmentStringsW, SystemTimeToFileTime, GetLocalTime, EnterCriticalSection, LeaveCriticalSection, WaitForSingleObject, lstrcmpiW, CreateDirectoryW, GetFullPathNameW, lstrcpynW, CreateProcessW, SetEvent, CreateThread, CreateEventW, GetSystemTimeAsFileTime, DeleteCriticalSection, WaitForMultipleObjects, ResetEvent, Sleep, InitializeCriticalSection, FreeLibrary, lstrcatW, SetLastError, SetThreadPriority, GetCurrentThread, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetCommandLineA, GetVersionExA, WideCharToMultiByte, ExitProcess, GetProcAddress, GetModuleHandleA, WriteFile, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, HeapDestroy, HeapCreate, VirtualFree, VirtualProtect, GetSystemInfo, VirtualQuery, MultiByteToWideChar, LCMapStringA, LCMapStringW, RtlUnwind, InterlockedExchange, LoadLibraryA, GetACP, GetOEMCP, GetCPInfo, VirtualAlloc, HeapReAlloc, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, SetStdHandle, FlushFileBuffers, GetModuleHandleW
> USER32.dll: LoadStringW
> ntdll.dll: NtWaitForSingleObject, NtWaitForMultipleObjects
> NETAPI32.dll: NetMessageBufferSend
> SHLWAPI.dll: -
> pdh.dll: PdhPlaGetLogFileNameW, PdhPlaGetInfoW, PdhiPlaRunAs, PdhSetDefaultRealTimeDataSource, PdhAddCounterW, PdhAdd009CounterW, PdhGetFormattedCounterValue, PdhCollectQueryData, PdhCloseQuery, PdhOpenQueryH, PdhGetLogFileSize, PdhCloseLog, PdhUpdateLogW, PdhOpenLogW, PdhExpandWildCardPathW, PdhParseCounterPathW, PdhiPlaFormatBlanksW
( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
 Noch was anderes: die beiden von dir beanstandeten tmp-Dateien scheinen zum Conficker-Wurm gehoert zu haben (ich waehle hier die Vergangenheitsform, da Mbam Conficker "entfernt" hat, die Dienste gestopt sind und mir als Dateigroesse 0 kb angegeben wird, weshalb ich die Dateien auch nicht bei virustotal pruefen lassen konnte). Am meisten Sorgen machen mir die ganzen aktivierten Windows-Remote-Control-Dienste, die eigentlich aufgrund Deaktivierung nicht laufen duerften. Vlt. ein Backdoor? Greetz, Sonja |
|
03.09.2009, 18:27
| #4 |
| | Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? Hallo, bist du der russischen Sprache sehr mächtig und kannst du kyrillisch? Wenn ja würde ich bei deinem problem dich lieber an VirusInfo weiterleiten, da dort ebenso gleichsprachig gesprochen wird. Würdest du das tun? Oder sind die Fremdsprachenkenntnisse eher mager?
__________________ Avira Upgrade 10 ist auf dem Markt! Agressive Einstellung von Avira What goes around comes around!  |
|
| Themen zu Sauberes XP nach entfernen von ueber 400 Schaedlingen (v.a. Trojaner)? |
| .dll, 0 bytes, abgesicherten modus, adware, antiviren-programm, avira, check, csrss.exe, desktop, entfernen, explorer.exe, file, frage, free, keine funde, logon.exe, lsass.exe, moved, neustart, nicht sicher, nt.dll, prozesse, realplayer, services.exe, spyware, svchost.exe, taskmanager, trojaner, virus, warning, windows system, windows-update, winlogon.exe, zu lang |
Hybrid-Darstellung
