| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
22.04.2010, 14:23
| #1 |
| |  3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay" Die stehen doch mit drin: Malwarebytes' Anti-Malware 1.45Oder meintest du etwas anderes? Geändert von urbanpioneer (22.04.2010 um 14:30 Uhr) |
|
22.04.2010, 17:48
| #2 | |
| /// Helfer-Team    | 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay" Bitte gehe zu Virustotal und lasse dort nacheinander die folgenden Dateien scannen (zuvor ggf. sichtbar machen):
__________________Code:
ATTFilter C:\WINDOWS\CFChg.INI
C:\WINDOWS\NDSBrow.INI
C:\WINDOWS\cpvas.ini
C:\WINDOWS\System32\rfstrres.dll
C:\WINDOWS\kochrun.ini
C:\WINDOWS\System32\dvmsg.dll
C:\WINDOWS\System32\lvesg.dll
C:\WINDOWS\System32\pwrpdfuid.dll
C:\WINDOWS\System32\jpgdlib.dll
Dann: Starte OTL und kopiere in das Skript-Feld: Code:
ATTFilter :OTL
SRV - (WebSecurityProxy) -- File not found
@Alternate Data Stream - 143 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:054B9966
@Alternate Data Stream - 1256 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:qztlE87lZ1wt9RvJsgbS3w
@Alternate Data Stream - 1204 bytes -> C:\Programme\WindowsUpdate:N6Zn0nu4BUjGyEwxMZnXURxLzFX
@Alternate Data Stream - 1200 bytes -> C:\Programme\Outlook Express:8JSNPi4OY9fDDP7sQreme43
@Alternate Data Stream - 1173 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:AoKMoTbNwuWV9JznRCL8MVLex
@Alternate Data Stream - 1163 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:gv9kcaOUjCxPRXjhPhQMu
@Alternate Data Stream - 1146 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:KrA5BcgIxQDYgpbGUuYujJ3a1
:Commands
[emptytemp]
[Reboot]
Danach: Bitte GMER scannen lassen und das Logfile posten. Zitat:
__________________ Geändert von Franz1968 (22.04.2010 um 18:04 Uhr) |
|
26.04.2010, 12:40
| #3 |
| | 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay" Also, weiter gehts.
__________________Hier die Ergebnislinks von Virustotal: Code:
ATTFilter C:\WINDOWS\CFChg.INI
hxxp://www.virustotal.com/vt/de/recepcion?4ca6f64d5d1c6d13c98f110e892eb055
C:\WINDOWS\NDSBrow.INI
hxxp://www.virustotal.com/vt/de/recepcion?514f4bc97cd1bddb6665c975723bd4f7
C:\WINDOWS\cpvas.ini
hxxp://www.virustotal.com/de/analisis/02ccb2b6d8a11bd65c468fbaca041cfc7a9cb05d7030d5d24bf3c7392f6bd6db-1271999912
C:\WINDOWS\System32\rfstrres.dll
hxxp://www.virustotal.com/de/analisis/5550671225427953f750faf30cd0dc0af8c3a8ad2bb31cb3b13b1a3586690587-1272000003
C:\WINDOWS\kochrun.ini
hxxp://www.virustotal.com/de/analisis/b5d3286fee341ae7972b31271b428e55cd120bbbbfcad7ed59500dd2ed319516-1272000079
C:\WINDOWS\System32\dvmsg.dll
hxxp://www.virustotal.com/de/analisis/05166736a2abb691daa4aa9fd65d5a4e5980729ddbc2a717327f792a83417f87-1272000201
C:\WINDOWS\System32\lvesg.dll
hxxp://www.virustotal.com/de/analisis/a86e11e24a7aff999982aa1959e489c45bc742dd057e42409462938ce0d00937-1272000408
C:\WINDOWS\System32\pwrpdfuid.dll
hxxp://www.virustotal.com/de/analisis/632b20ec3b66493257eba9ec1980c1b623557c2f8f6cb49511e4f6e846cab800-1272000557
C:\WINDOWS\System32\jpgdlib.dll
hxxp://www.virustotal.com/de/analisis/b7ae209b0e7c3adf1c80b82c384e0f69e21dbc271ed4dfa9f8674b46e0f04084-1272000748
Code:
ATTFilter All processes killed
========== OTL ==========
Service WebSecurityProxy stopped successfully!
Service WebSecurityProxy deleted successfully!
File File not found not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:054B9966 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:qztlE87lZ1wt9RvJsgbS3w deleted successfully.
ADS C:\Programme\WindowsUpdate:N6Zn0nu4BUjGyEwxMZnXURxLzFX deleted successfully.
ADS C:\Programme\Outlook Express:8JSNPi4OY9fDDP7sQreme43 deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:AoKMoTbNwuWV9JznRCL8MVLex deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:gv9kcaOUjCxPRXjhPhQMu deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft:KrA5BcgIxQDYgpbGUuYujJ3a1 deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32768 bytes
User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: xxx
->Temp folder emptied: 614184 bytes
->Temporary Internet Files folder emptied: 1322614 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40120292 bytes
->Google Chrome cache emptied: 19912740 bytes
->Flash cache emptied: 4836 bytes
User: USER
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1717197 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 61,00 mb
OTL by OldTimer - Version 3.2.2.0 log created on 04232010_143943
Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\hlktmp scheduled to be moved on reboot.
File\Folder C:\WINDOWS\temp\ZLT009fe.TMP not found!
File\Folder C:\WINDOWS\temp\ZLT04dd2.TMP not found!
Registry entries deleted on Reboot...
Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-26 13:29:53
Windows 5.1.2600 Service Pack 3
Running: dtqru4q9.exe; Driver: C:\DOKUME~1\xxx\LOKALE~1\Temp\fwtdypoc.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xAA621040]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xAA61D930]
SSDT F7B19DB6 ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xAA621510]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xAA627870]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xAA627AA0]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xAA62AFD0]
SSDT F7B19DAC ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xAA621600]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xAA61DF20]
SSDT F7B19DBB ZwDeleteKey
SSDT F7B19DC5 ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xAA627580]
SSDT F7B19DCA ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xAA61DD70]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xAA627350]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xAA627150]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xAA62A250]
SSDT F7B19DD4 ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xAA620C00]
SSDT F7B19DCF ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xAA621220]
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xAA61E120]
SSDT F7B19DC0 ZwSetValueKey
SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xAA627CD0]
INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A9F5A16D
INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems) A9F59FC2
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + 104 804E2770 12 Bytes [10, 15, 62, AA, 70, 78, 62, ...] {ADC [0x7870aa62], DL; BOUND EBP, [EDX-0x559d8560]}
? srescan.sys Das System kann die angegebene Datei nicht finden. !
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF6131DBF]
.text C:\WINDOWS\system32\drivers\SSHDRV85.sys section is writeable [0xAA72B000, 0x24A24, 0xE8000020]
.pklstb C:\WINDOWS\system32\drivers\SSHDRV85.sys entry point in ".pklstb" section [0xAA75E000]
.relo2 C:\WINDOWS\system32\drivers\SSHDRV85.sys unknown last section [0xAA774000, 0x8E, 0x42000040]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA9AAE400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA9B52620] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA9B52620]
.protectÿÿÿÿhardlockunknown last code section [0xA9B52400, 0x5126, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA9B52400, 0x5126, 0xE0000020]
? System32\Drivers\hiber_WMILIB.SYS Das System kann den angegebenen Pfad nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [AA625CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [AA6261C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [AA626320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [AA625E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [AA625E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [AA625CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [AA6261C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [AA626320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [AA625CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [AA625E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [AA626320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [AA6261C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [AA626320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [AA6261C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [AA625CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [AA625E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [AA625CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [AA6261C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [AA626320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [AA626320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [AA6261C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [AA625E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [AA625CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [AA633330] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [AA625CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [AA625E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [AA626320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [AA6261C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- Registry - GMER 1.0.15 ----
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E4E5F608-BFE0-471E-D5C2-99A85D34D334}
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E4E5F608-BFE0-471E-D5C2-99A85D34D334}@haljbdcndmpmdibd 0x6D 0x64 0x70 0x68 ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E4E5F608-BFE0-471E-D5C2-99A85D34D334}@iahoklkbggbepfdaah 0x69 0x61 0x6D 0x6E ...
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{E4E5F608-BFE0-471E-D5C2-99A85D34D334}@haboajjiehpihbii 0x69 0x61 0x69 0x6E ...
---- EOF - GMER 1.0.15 ----
|
|
26.04.2010, 13:07
| #4 |
| /// Helfer-Team | 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay" Die ersten beiden Virustotal-Links führen ins Leere. Was ist mit dem User "User"? Ist er dir bekannt? 
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
26.04.2010, 19:45
| #5 |
| | 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay" So oft ich es auch versuche, ich bekomme beim Upload von den ersten beiden immer nur diese komische spanische (?) Meldung. Einen User namens User gibt es bei mir nicht, ich habe nur "xxx" als Benutzer (mein Vorname halt). |
|
30.04.2010, 21:23
| #6 |
| | 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay" Ist mein PC jetzt fertig behandelt? Oder muss ich mir ganz viele Sorgen machen? |
|
| Themen zu 3 Trojaner! "TR/Renos.214528", "TR/Dldr.Zlob.caz" und "TR/Dldr.Zlob.cay" |
| antivir, antivir guard, avgntflt.sys, avira, bho, canon, cdburnerxp, combofix, desktop, device driver, einstellungen, excel, firefox, fontcache, hijack, hijackthis, hkus\s-1-5-18, home, infizierte dateien, kaspersky, langsam, launch, logfile, mozilla, nodrives, plug-in, realtek, registry, sehr langsam, skype.exe, software, spigot, system, trojan, trojan.downloader, trojaner, windows, windows xp |
Hybrid-Darstellung
