Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Worm_downad.ad ?

Worm_downad.ad ?


Plagegeister aller Art und deren Bekämpfung: Worm_downad.ad ?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 5 von 5 « Erste 34 5
Alt 04.05.2010, 12:13   #1
Snewi
 
Worm_downad.ad ? - Standard

Worm_downad.ad ?


Einen Server hab ich noch gefunden der die Quelle (DomainController) sein könnte!
Ist aber Windoes 2003 Server BS! Gibt es hier ne Möglichkeit wie bei dem Avenger vorzugehen?

Log:
Code:
ATTFilter
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-04 13:08:38
Windows 5.2.3790 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxroapoc.sys


---- Kernel code sections - GMER 1.0.15 ----

_LTEXT          C:\WINDOWS\system32\DRIVERS\sntie.sys                                               entry point in "_LTEXT" section [0xB5A37160]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\System32\svchost.exe[884] ntdll.dll!NtQueryInformationProcess            7C94759D 5 Bytes  JMP 01799DC2 
.text           C:\WINDOWS\System32\svchost.exe[884] NETAPI32.dll!NetpwPathCanonicalize             71A59511 5 Bytes  JMP 01799D62 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                              TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                            tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                           tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                           tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                         tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice  \FileSystem\Fastfat \Fat                                                            fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                                            TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)

---- Services - GMER 1.0.15 ----

Service         C:\WINDOWS\system32\svchost.exe (*** hidden *** )                                   [AUTO] udchbxvo                                                                                                                                                                                                                                                                                                                                     <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@DisplayName                         Update Universal
Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Type                                32
Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Start                               2
Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ErrorControl                        0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ImagePath                           %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ObjectName                          LocalSystem
Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Description                         L?st NetBIOS-Namen f?r TCP/IP-Clients auf, indem Netzwerkdienste, die NetBIOS verwenden, ermittelt werden. Netzwerk-NetBIOS-Dienste funktionieren nicht einwandfrei, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo\Parameters                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo\Parameters@ServiceDll               C:\WINDOWS\system32\mcvbosa.dll
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo@DisplayName                             Update Universal
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Type                                    32
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Start                                   2
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ErrorControl                            0
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ImagePath                               %SystemRoot%\system32\svchost.exe -k netsvcs
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ObjectName                              LocalSystem
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Description                             L?st NetBIOS-Namen f?r TCP/IP-Clients auf, indem Netzwerkdienste, die NetBIOS verwenden, ermittelt werden. Netzwerk-NetBIOS-Dienste funktionieren nicht einwandfrei, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo\Parameters (not active ControlSet)      
Reg             HKLM\SYSTEM\ControlSet002\Services\udchbxvo\Parameters@ServiceDll                   C:\WINDOWS\system32\mcvbosa.dll
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability@LastAliveUptime          963815
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs              
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota     10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                   yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                  
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DesktopHeapLogging        1
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERPostMessageLimit      100000

---- EOF - GMER 1.0.15 ----

Alt 04.05.2010, 13:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Worm_downad.ad ? - Standard

Worm_downad.ad ?


Zitat:
Ist aber Windoes 2003 Server BS! Gibt es hier ne Möglichkeit wie bei dem Avenger vorzugehen?
Mit OSAM versuchen die "bösen" Dienste zu löschen...
__________________

__________________
Alt 06.05.2010, 07:22   #3
Snewi
 
Worm_downad.ad ? - Standard

Worm_downad.ad ?


So wie es aussieht ist der Virus weg! Es kommt aufjedenfall keine Meldung mehr auf irgendeinem Client oder Server

Die Frage ist ob er auch wirklich weg ist und ob man das noch irgendwie überprüfen kann oder ist es jetzt mehr Glück?

Danke nochmal an Cosinus der viel Geduld mit mir haben musste aber der eine echt große große Hilfe war! Also DANKE

Gruß
__________________
Antwort
Seite 5 von 5 « Erste 34 5

Themen zu Worm_downad.ad ?
alarm, befallen, bezüglich, c:\windows, einträge, entfernen, fehlermeldungen, hartnäckigen, hijack, hijackthis, malwarebytes, neuste, scan, scanner, schlägt, server, system, system32, systeme, tools, virenscan, virenscanner, windows, worm, wurm


« unbekannter virus/wurm | Seltsam, Avira hat BDS/Agent.apgd entdeckt »


Ähnliche Themen: Worm_downad.ad ?


  1. Trend Micro Worry Free Business Security + WORM_DOWNAD.AD + MAL_DOWNAD.Ad
    Plagegeister aller Art und deren Bekämpfung - 05.06.2013 (16)
  2. TrendMicro Worry Free Business Security meldet: "At1.job" und "ojswjz.ouu" (Mal_DownadJ und WORM_DOWNAD.AD)
    Plagegeister aller Art und deren Bekämpfung - 25.03.2013 (28)
  3. MAL_DOWNADJ ; WORM_DOWNAD.AD im gesamten Firmennetzwerk
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (25)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Worm_downad.ad ? - Einen Server hab ich noch gefunden der die Quelle (DomainController) sein könnte! Ist aber Windoes 2003 Server BS! Gibt es hier ne Möglichkeit wie bei dem Avenger vorzugehen? Log: Code: - Worm_downad.ad ?...
Archiv
Du betrachtest: Worm_downad.ad ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131