| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Worm_downad.ad ?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.05.2010, 12:13
| #61 |
 |  Worm_downad.ad ? Einen Server hab ich noch gefunden der die Quelle (DomainController) sein könnte! Ist aber Windoes 2003 Server BS! Gibt es hier ne Möglichkeit wie bei dem Avenger vorzugehen? Log: Code:
ATTFilter GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-04 13:08:38
Windows 5.2.3790 Service Pack 2
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxroapoc.sys
---- Kernel code sections - GMER 1.0.15 ----
_LTEXT C:\WINDOWS\system32\DRIVERS\sntie.sys entry point in "_LTEXT" section [0xB5A37160]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[884] ntdll.dll!NtQueryInformationProcess 7C94759D 5 Bytes JMP 01799DC2
.text C:\WINDOWS\System32\svchost.exe[884] NETAPI32.dll!NetpwPathCanonicalize 71A59511 5 Bytes JMP 01799D62
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Ip tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\Udp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \Driver\Tcpip \Device\RawIp tmtdi.sys (Trend Micro TDI Driver (i386-fre)/Trend Micro Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat TmPreFlt.sys (Pre-Filter For XP/Trend Micro Inc.)
---- Services - GMER 1.0.15 ----
Service C:\WINDOWS\system32\svchost.exe (*** hidden *** ) [AUTO] udchbxvo <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@DisplayName Update Universal
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Type 32
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Start 2
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo@Description L?st NetBIOS-Namen f?r TCP/IP-Clients auf, indem Netzwerkdienste, die NetBIOS verwenden, ermittelt werden. Netzwerk-NetBIOS-Dienste funktionieren nicht einwandfrei, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo\Parameters
Reg HKLM\SYSTEM\CurrentControlSet\Services\udchbxvo\Parameters@ServiceDll C:\WINDOWS\system32\mcvbosa.dll
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo@DisplayName Update Universal
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Type 32
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Start 2
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo@Description L?st NetBIOS-Namen f?r TCP/IP-Clients auf, indem Netzwerkdienste, die NetBIOS verwenden, ermittelt werden. Netzwerk-NetBIOS-Dienste funktionieren nicht einwandfrei, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, k?nnen die Dienste, die von diesem Dienst ausschlie?lich abh?ngig sind, nicht mehr gestartet werden.
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo\Parameters (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\udchbxvo\Parameters@ServiceDll C:\WINDOWS\system32\mcvbosa.dll
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability@LastAliveUptime 963815
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DesktopHeapLogging 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERPostMessageLimit 100000
---- EOF - GMER 1.0.15 ----
|
|
06.05.2010, 07:22
| #63 |
| | Worm_downad.ad ? So wie es aussieht ist der Virus weg! Es kommt aufjedenfall keine Meldung mehr auf irgendeinem Client oder Server
__________________ Die Frage ist ob er auch wirklich weg ist und ob man das noch irgendwie überprüfen kann oder ist es jetzt mehr Glück?  Danke nochmal an Cosinus der viel Geduld mit mir haben musste aber der eine echt große große Hilfe war! Also DANKE  Gruß |
|
| Themen zu Worm_downad.ad ? |
| alarm, befallen, bezüglich, c:\windows, einträge, entfernen, fehlermeldungen, hartnäckigen, hijack, hijackthis, malwarebytes, neuste, scan, scanner, schlägt, server, system, system32, systeme, tools, virenscan, virenscanner, windows, worm, wurm |
Linear-Darstellung
