Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.08.2010, 13:23   #1
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Hallo,
Ich habe ein Problem mit meinem Rechner. Als AntiViren Software verwende ich AVG Free 9. Dieses Programm hat mir nun gesagt das fast mein ganzer Rechner mit dem SHeur AQUM, AQRA Trojaner infiziert sei. Ich bin nun natürlich aufgeschreckt. Habe dann erstmal AVG deaktiviert und habe den Online Scanner von F-Secure laufen lassen. Dieser hat aber außer Tracking Cookies nichts gefunden. Damit habe ich mich aber nicht zufrieden gegeben. Habe dann noch Spybot laufen lassen. Dieser hat nur Tracking Cookies gefunden und das von mir deaktivierte Sicherheitscenter von XP. Auch Malwarebytes hat nichts gefunden. Habe sogar AntiTrojan laufen lassen. Wieder mit negativem Ergebnis.
Ich habe auch keine ungewöhnliche Netzwerkaktivität.
Nun habe ich ein Hijack This Log gemacht und auch RSIT laufen lassen.
Diese Logs hänge ich mal an den Post an in der Hoffnung das einer von euch mir halfen kann.
MfG

Noch ein Nachtrag.
Ich habe soeben festgestellt, das immer wenn ich ein Programm starte, egal welches, der Internet Explorer als Prozess mit startet. Er startet nur als Prozess, nicht als Programmfenster. Ich kann den Prozess im Taskmanager manuell, beenden und das normal gestartete Programm läuft normal weiter.
Wenn ich das von mir gestartete Programm beende ohne den IE Prozess beendet zu haben, läuft der Ie Prozess weiter.

Edit: Ich habe soeben festgestellt, das mein Lautstärke Mixer nicht mehr funktioniert. Laut Hardware Manager ist dieser aber installiert und funktioniert. Nur ist bei Audioeigenschaften alles deaktiviert und an den Mixer komme ich auch nicht heran.
Habe hier im Forum schon ähnliche Fälle gelesen, aber ich höre weder Klickgeräusche noch Schlachtmusik. Bluescreens habe ebenfalls keine und wenn ich den IE Prozess kille bleibt er auch gekillt, bis zum start des nächsten Programms.

Hmm, Wieso kann ich meinen eigenen erstellten Beitrag nicht selbst editieren? o_O

Egal. Habe eben mal den BootKit Remover ausgeführt.

Hier das Log:
Code:
ATTFilter
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
 
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
 
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf
 
     Size  Device Name          MBR Status
 --------------------------------------------
  1397 GB  \\.\PhysicalDrive0   Unknown boot code
 
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
 
 
Done;
Press any key to quit...
         
Angehängte Dateien
Dateityp: zip Logs.zip (68,9 KB, 62x aufgerufen)

Alt 03.08.2010, 19:06   #2
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes


Schritt 2

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.
  • Speichere die Datei am Desktop.
  • Doppelklick auf die load.exe
  • Belasse die Häckchen wie sie sind.
  • Schließe nun alle offenen Programme.
  • Klicke auf Download
  • Bitte während dem Download nicht in das Fenster klicken.
  • Folge den Anweisungen auf dem Bildschirm.
  • Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.
__________________

__________________

Alt 04.08.2010, 18:39   #3
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Hallo.
Habe alle Schritte nach Anleitung ausgeführt. Es folgen die Logs.
Nach dem Reboot für die reinigung durch MBAM kam beim Windows Start folgende Fehlermeldung.
"Rundll
Fehler beim laden von C:\Windows\dftsonp.dll
Das angegebene Modul wurde nicht gefunden."
Mein Audiomixer funktioniert wieder. Leider startet der iexplore.exe Prozess immer noch im Hintergrund bei jedem Programm welches gestartet wird.

Die Logs habe ich in den Anhang gelegt da ich per Code einfügen sonst nicht posten konnte. Die OTL.txt habe ich in ein zip File gepackt da sie zum anhängen sonst zu groß gewesen wäre.
__________________
Angehängte Dateien
Dateityp: txt MBRCheck_08.04.10_11.28.24.txt (9,4 KB, 293x aufgerufen)
Dateityp: txt gmer_04_08_2010.txt (16,6 KB, 226x aufgerufen)
Dateityp: txt mbam-log-2010-08-04 (11-50-52).txt (3,2 KB, 250x aufgerufen)
Dateityp: txt Extras.Txt (38,1 KB, 299x aufgerufen)
Dateityp: zip OTL.zip (14,2 KB, 55x aufgerufen)

Alt 04.08.2010, 20:31   #4
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Zitat:
Zitat von larusso
Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**



  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.08.2010, 13:33   #5
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Hallo, habe Combofix ausgeführt. Allerdings habe ich bei den ersten 2 Versuchen immer die Fehlermeldung bekommen, das Combo-Fix.exe kompromittiert sei und und der Vorgang nicht fortgesetzt werden kann. Die Combo-Fix Exe hat sich daraufhin selbst gelöscht. Es wurde beim Ausführen der exe auch eine weitere exe Datei angelegt die "Combo-FixSrv.exe" hieß.
Habe dann noch einmal Malwarebyte laufen lassen und die Datei "dftsonp.dll" war wieder vorhanden. Habe die mit MBAM entfernt, den rechner neu gestartet und eine neu heruntergelandene Version von Combo-Fix ausgeführt. Daraufhin hat Combo-Fix funktioniert. Die datei "Desktoplayer.exe" ist weiterhin vorhanden. Es ist auch von der normalen "Explorer.exe" eine "ExplorerSrv.exe" vorhanden. Auch startet weiterhin bei jedem beliebigen Programmstart der "Iexplore.exe" Prozess.
So nun aber das Combofix Log.

Code:
ATTFilter
ComboFix 10-08-04.05 - MP 05.08.2010  12:31:50.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3327.2889 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\MP.MEDIAPC.000\Desktop\Combo-Fix.exe
.
 ADS - WINDOWS: deleted 24 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Internet Explorer\dmlconf.dat
c:\programme\Microsoft\DesktopLayer.exe
c:\programme\riva1\podm.exe
c:\programme\Xvid\StatsReader.exe
c:\windows\regedit.com
c:\windows\system32\taskmgr.com
c:\programme\Microsoft\DesktopLayer.exe . . . . Nicht in der Lage zu löschen

Infizierte Kopie von c:\windows\system32\drivers\redbook.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-07-05 bis 2010-08-05  ))))))))))))))))))))))))))))))
.

2010-08-04 09:37 . 2010-08-04 09:38	--------	d-----w-	c:\programme\ERUNT
2010-08-04 09:32 . 2010-08-04 09:32	--------	d-----w-	c:\programme\7-Zip
2010-08-02 15:34 . 2010-08-02 15:34	--------	d-----w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\TrojanHunter
2010-08-02 14:38 . 2010-08-03 12:43	--------	d-----w-	c:\programme\TrojanHunter 5.3
2010-08-02 08:38 . 2010-08-05 10:38	--------	d-----w-	c:\programme\riva1
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\VDLL.DLL
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\system32\runouce.exe
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\rundll16.exe
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\RUNDL132.EXE
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\logo1_.exe
2010-08-01 23:35 . 2010-08-01 23:35	--------	d---a-w-	c:\windows\logo_1.exe
2010-08-01 23:31 . 2010-08-01 23:31	632064	----a-w-	c:\windows\system32\msvcr80.dll
2010-08-01 23:31 . 2010-08-01 23:31	554240	----a-w-	c:\windows\system32\msvcp80.dll
2010-08-01 23:31 . 2010-08-01 23:31	34048	----a-w-	c:\windows\system32\eEmpty.exe
2010-08-01 23:31 . 2008-04-14 05:53	140800	----a-w-	c:\windows\system32\T.COM
2010-08-01 23:31 . 2008-04-14 05:53	153600	----a-w-	c:\windows\R.COM
2010-08-01 23:31 . 2010-08-01 23:31	--------	d-----w-	c:\programme\Gemeinsame Dateien\MicroWorld
2010-08-01 23:31 . 2010-08-01 23:31	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\MicroWorld
2010-08-01 23:02 . 2010-08-01 23:04	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-08-01 22:59 . 2010-08-01 22:59	--------	d-----w-	C:\rsit
2010-08-01 22:59 . 2010-08-01 22:59	--------	d-----w-	c:\programme\trend micro
2010-08-01 22:05 . 2010-08-01 22:05	--------	d-----w-	C:\$AVG
2010-08-01 22:05 . 2010-08-01 22:05	--------	d-----w-	c:\programme\AVG
2010-08-01 21:03 . 2010-08-01 21:03	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\F-Secure
2010-08-01 20:28 . 2010-08-01 20:28	--------	d-----w-	c:\windows\system32\NtmsData
2010-08-01 20:06 . 2010-08-01 20:06	--------	d-----w-	c:\programme\Gemeinsame Dateien\Java
2010-08-01 20:05 . 2010-08-01 20:05	423656	----a-w-	c:\windows\system32\deployJava1.dll
2010-08-01 20:05 . 2010-08-01 20:05	--------	d-----w-	c:\programme\Java
2010-08-01 20:05 . 2010-08-01 20:05	79488	----a-w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Sun\Java\jre1.6.0_21\gtapi.dll
2010-08-01 19:18 . 2010-04-29 13:39	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-01 19:18 . 2010-08-04 09:50	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-08-01 19:18 . 2010-04-29 13:39	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-01 17:25 . 2010-08-05 10:39	--------	d-----w-	c:\programme\Microsoft

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-05 10:41 . 2006-02-28 12:00	511794	----a-w-	c:\windows\system32\perfh007.dat
2010-08-05 10:41 . 2006-02-28 12:00	104128	----a-w-	c:\windows\system32\perfc007.dat
2010-08-05 10:40 . 2009-08-16 15:26	1397	----a-w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\ASUS\Xonar D2 Audio Center\AsusAudioCenter.dll
2010-08-05 10:40 . 2010-08-05 10:17	59392	----a-w-	c:\windows\ExplorerSrv.exe
2010-08-05 10:40 . 2010-08-05 10:40	59392	----a-w-	c:\windows\system32\rundll32Srv.exe
2010-08-05 10:38 . 2009-01-22 18:43	--------	d-----w-	c:\programme\Xvid
2010-08-05 10:17 . 2009-04-08 17:32	--------	d-----w-	c:\programme\Opera
2010-08-04 09:35 . 2009-08-30 10:01	--------	d-----w-	c:\programme\DVBViewer TE2
2010-08-04 09:35 . 2009-01-18 18:03	--------	d-----w-	c:\programme\QuickTime
2010-08-04 09:27 . 2009-01-18 01:04	--------	d-----w-	c:\programme\DAEMON Tools Lite
2010-08-04 09:27 . 2009-08-16 17:53	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\SlySoft
2010-08-04 09:27 . 2009-04-03 19:56	--------	d-----w-	c:\programme\SlySoft
2010-08-02 08:14 . 2009-06-21 21:19	--------	d-----w-	c:\programme\Spybot - Search & Destroy
2010-08-01 18:07 . 2009-01-24 14:31	238080	----a-w-	C:\utorrentXP.exe
2010-08-01 18:04 . 2009-10-24 17:31	--------	d-----w-	c:\programme\SUPERAntiSpyware
2010-08-01 17:37 . 2009-08-16 21:47	--------	d-----w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Temp
2010-08-01 17:28 . 2009-02-01 15:40	632320	----a-w-	C:\CDmage1-01-5.exe
2010-08-01 17:26 . 2010-01-16 15:54	--------	d-----w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\BitTorrent
2010-08-01 17:20 . 2009-08-18 17:34	--------	d-----w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\vlc
2010-07-11 17:59 . 2009-10-03 12:30	--------	d-----w-	c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Azureus
2006-05-03 09:06 . 2009-08-16 17:07	163328	--sh--r-	c:\windows\system32\flvDX.dll
2007-02-21 10:47 . 2009-08-16 17:07	31232	--sh--r-	c:\windows\system32\msfDX.dll
2008-03-16 12:30 . 2009-08-16 17:07	216064	--sh--r-	c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2010-08-01 139264]
"StartCCC"="c:\programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-01 159744]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 76304]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2010-08-01 475136]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-08-16 198160]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2009-11-19 75048]
"Cmaudio8788GX"="c:\windows\system\HsMgr.exe" [2008-07-11 200704]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2008-07-21 87336]
"RemoteControl8"="c:\programme\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-07-16 91432]
"PDVD8LanguageShortcut"="c:\programme\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]
"iMON"="c:\programme\SOUNDGRAPH\iMON\iMON.exe" [2010-08-02 2662400]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

c:\dokumente und einstellungen\MP.MEDIAPC.000\Startmen\Programme\Autostart\
Verknpfung mit SkystarIR.exe.lnk - c:\programme\DVBViewer TE2\SkystarIR.exe [2009-8-30 248320]

c:\dokumente und einstellungen\All Users.WINDOWS\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2009-8-16 805392]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2010-08-01 139264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\programme\microsoft\desktoplayer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 13:21	548352	----a-w-	c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42	72208	----a-w-	c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 15:10	35696	----a-w-	c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\utorrentXP.exe"=
"c:\\Programme\\DVBViewer TE2\\SkystarIR.exe"=
"c:\\Programme\\DVBViewerTE\\ts_winlirc.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Corel\\DVD9\\WinDVD.exe"=
"c:\\Programme\\Vuze\\Azureus.exe"=
"c:\\Programme\\DVBViewerTE\\SkystarIR.exe"=
"d:\\MediaPortal TV Server\\TvService.exe"=
"c:\\Programme\\Opera\\opera.exe"=
"c:\\Programme\\mIRC\\mirc.exe"=
"c:\\Programme\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"c:\\Programme\\BitTorrent\\bittorrent.exe"=
"c:\\Programme\\DVBViewer TE2\\ts_winlirc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"31456:TCP"= 31456:TCP:tvservice

R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [16.08.2009 22:09 3026]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [12.10.2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [12.10.2009 21:24 74480]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};Power Control [2009/12/07 21:07];c:\programme\CyberLink\PowerDVD8\000.fcl [28.08.2009 19:36 87536]
R2 regi;regi;c:\windows\system32\drivers\regi.sys [17.04.2007 20:09 11032]
R2 TVService;TVService;d:\mediaportal tv server\TvService.exe [16.08.2009 22:26 188416]
R3 cmudaxp;ASUS Xonar DX Audio Interface;c:\windows\system32\drivers\cmudaxp.sys [23.08.2009 18:10 1983424]
R3 MTSBDA;TechniSat Mantis BDA Driver;c:\windows\system32\drivers\MtsBda.sys [16.08.2009 18:00 253968]
R3 MtsHID;TechniSat Mantis BDA HID Driver;c:\windows\system32\drivers\MtsHID.sys [16.08.2009 18:02 23568]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [12.10.2009 21:24 7408]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [16.08.2009 19:19 721904]
.
.
------- Zusätzlicher Suchlauf -------
.
Trusted Zone: corel.com
Trusted Zone: corel.com\www
Trusted Zone: intervideo.com
Trusted Zone: intervideo.com\www
TCP: {EF68116D-EB37-463C-95E7-57350A341398} = 192.168.0.1
DPF: {72376E32-8AF2-473F-BE32-E5D0F39C865D} - hxxp://www.cyberlink.com/prog/aacs/UpdateAdvisor.cab
FF - ProfilePath - c:\dokumente und einstellungen\MP.MEDIAPC.000\Anwendungsdaten\Mozilla\Firefox\Profiles\irjily61.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-WinampAgent - c:\programme\Winamp\winampa.exe
HKLM-Run-Cmaudio8788 - cmicnfgp.cpl
MSConfigStartUp-AnyDVD - c:\programme\SlySoft\AnyDVD\AnyDVDtray.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe
MSConfigStartUp-DAEMON Tools Lite - c:\programme\DAEMON Tools Lite\daemon.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-08-05 12:40
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD8\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(3172)
c:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
c:\programme\Internet Explorer\IEXPLORE.EXE
c:\programme\CDBurnerXP\NMSAccessU.exe
c:\programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
c:\programme\CyberLink\Shared files\RichVideo.exe
c:\windows\system32\locator.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
c:\programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\windows\system32\wscntfy.exe
c:\programme\ASUS Xonar DX Audio\Customapp\Program\ASUSAUDIOCENTER.EXE
c:\programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
c:\programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-08-05  12:43:33 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-08-05 10:43

Vor Suchlauf: 36 Verzeichnis(se), 12.574.765.056 Bytes frei
Nach Suchlauf: 39 Verzeichnis(se), 12.565.692.416 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 8591452FA6BD5C2C113D0DB7CD64BB51
         


Alt 05.08.2010, 14:56   #6
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Ich bitte dich folgendes nochmal zu lesen !!!
Zitat:
Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.
Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen
Code:
ATTFilter
c:\windows\ExplorerSrv.exe
c:\windows\system32\rundll32Srv.exe
         
Also gehe wie hier beschrieben vor:
  • Öffne diese Webseite: virustotal
  • Klicke auf "Durchsuchen"
  • Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
  • "Senden der Datei"
  • Warte, bis der Scandurchlauf aller Virenscanner beendet ist
  • Auf "Compact" klicken (Links oben zu finden)
  • Ein neuer Tab dürfte sich öffnen.
  • Den Inhalt komplett kopieren und hier einfügen
Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen
__________________
--> AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA

Alt 05.08.2010, 16:51   #7
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Habe beide Dateien gescannt. Hier die Ergebnisse:
ExplorerSrv.exe

Datei ExplorerSrv.exe empfangen 2010.08.05 14:44:46 (UTC)
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2010.08.05.03;2010.08.05;Packed/Win32.Krap
AntiVir;8.2.4.32;2010.08.05;TR/Agent.HM.838
Antiy-AVL;2.0.3.7;2010.08.03;-
Authentium;5.2.0.5;2010.08.05;-
Avast;4.8.1351.0;2010.08.05;Win32:Rootkit-gen
Avast5;5.0.332.0;2010.08.05;Win32:Rootkit-gen
AVG;9.0.0.851;2010.08.05;SHeur3.AQUM
BitDefender;7.2;2010.08.05;Gen:Variant.Zbot.13
CAT-QuickHeal;11.00;2010.08.05;-
ClamAV;0.96.0.3-git;2010.08.05;-
Comodo;5654;2010.08.05;Heur.Suspicious
DrWeb;5.0.2.03300;2010.08.05;Trojan.Packed.20343
Emsisoft;5.0.0.36;2010.08.05;Trojan-PWS.Zbot!IK
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7768;2010.08.05;-
F-Prot;4.6.1.107;2010.08.05;W32/Zbot.AM.gen!Eldorado
F-Secure;9.0.15370.0;2010.08.05;Gen:Variant.Zbot.13
Fortinet;4.1.143.0;2010.08.05;-
GData;21;2010.08.05;Gen:Variant.Zbot.13
Ikarus;T3.1.1.84.0;2010.08.05;Trojan-PWS.Zbot
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.05;Packed.Win32.Krap.hm
McAfee;5.400.0.1158;2010.08.05;-
McAfee-GW-Edition;2010.1;2010.08.05;-
Microsoft;1.6004;2010.08.05;Trojan:Win32/Ramnit.A
NOD32;5343;2010.08.05;a variant of Win32/Kryptik.FUC
Norman;6.05.11;2010.08.05;-
nProtect;2010-08-05.01;2010.08.05;Gen:Variant.Zbot.13
Panda;10.0.2.7;2010.08.05;Suspicious file
PCTools;7.0.3.5;2010.08.04;-
Prevx;3.0;2010.08.05;-
Rising;22.59.03.04;2010.08.05;-
Sophos;4.56.0;2010.08.05;Mal/Zbot-U
Sunbelt;6688;2010.08.05;Trojan.Win32.Generic!BT
SUPERAntiSpyware;4.40.0.1006;2010.08.05;-
Symantec;20101.1.1.7;2010.08.05;-
TheHacker;6.5.2.1.332;2010.08.05;-
TrendMicro;9.120.0.1004;2010.08.05;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.05;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.8.4.3971;2010.08.05;-
VirusBuster;5.0.27.0;2010.08.05;-

weitere Informationen
File size: 59392 bytes
MD5...: 409018c17f571dc547a9aa36ed6d7002
SHA1..: 2ca8e7e9434872c181e099a6db66635509e3ee96
SHA256: d106fea3c16b93e68996e32d7dfb14332eff9da211af1840f9cddf5e00da8d0c
ssdeep: 1536:mUJ6qp2C7R1vCcUJi066T1ARPzMCG5Sey+rFLoNI:17jKFAbMdae5oK<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x2bb60<BR>timedatestamp.....: 0x45161d74 (Sun Sep 24 05:53:56 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x1e000 0xe000 0xde00 7.95 cfdc7eefa18b830ca6b4d63c7f5db861<BR>.rsrc 0x2c000 0x1000 0x600 4.25 7fa879342a7de624e55c6dbb57205ea0<BR><BR>( 2 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>&gt; USER32.DLL: GetMenu<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
packers (F-Prot): UPX
sigcheck:<BR>publisher....: SOFTWIN S.R.L.<BR>copyright....: 4170-9033<BR>product......: _______<BR>description..: BitDefender Management Console<BR>original name: gmj.exe<BR>internal name: ____<BR>file version.: 83.126.104.90<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

rundll32Srv.exe

Datei rundll32Srv.exe empfangen 2010.08.05 14:49:41 (UTC)
Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2010.08.05.03;2010.08.05;Packed/Win32.Krap
AntiVir;8.2.4.32;2010.08.05;TR/Agent.HM.838
Antiy-AVL;2.0.3.7;2010.08.03;-
Authentium;5.2.0.5;2010.08.05;-
Avast;4.8.1351.0;2010.08.05;Win32:Rootkit-gen
Avast5;5.0.332.0;2010.08.05;Win32:Rootkit-gen
AVG;9.0.0.851;2010.08.05;SHeur3.AQUM
BitDefender;7.2;2010.08.05;Gen:Variant.Zbot.13
CAT-QuickHeal;11.00;2010.08.05;-
ClamAV;0.96.0.3-git;2010.08.05;-
Comodo;5654;2010.08.05;Heur.Suspicious
DrWeb;5.0.2.03300;2010.08.05;Trojan.Packed.20343
Emsisoft;5.0.0.36;2010.08.05;Trojan-PWS.Zbot!IK
eSafe;7.0.17.0;2010.08.05;-
eTrust-Vet;36.1.7768;2010.08.05;-
F-Prot;4.6.1.107;2010.08.05;W32/Zbot.AM.gen!Eldorado
F-Secure;9.0.15370.0;2010.08.05;Gen:Variant.Zbot.13
Fortinet;4.1.143.0;2010.08.05;-
GData;21;2010.08.05;Gen:Variant.Zbot.13
Ikarus;T3.1.1.84.0;2010.08.05;Trojan-PWS.Zbot
Jiangmin;13.0.900;2010.08.03;-
Kaspersky;7.0.0.125;2010.08.05;Packed.Win32.Krap.hm
McAfee;5.400.0.1158;2010.08.05;-
McAfee-GW-Edition;2010.1;2010.08.05;-
Microsoft;1.6004;2010.08.05;Trojan:Win32/Ramnit.A
NOD32;5343;2010.08.05;a variant of Win32/Kryptik.FUC
Norman;6.05.11;2010.08.05;-
nProtect;2010-08-05.01;2010.08.05;Gen:Variant.Zbot.13
Panda;10.0.2.7;2010.08.05;Suspicious file
PCTools;7.0.3.5;2010.08.04;-
Prevx;3.0;2010.08.05;-
Rising;22.59.03.04;2010.08.05;-
Sophos;4.56.0;2010.08.05;Mal/Zbot-U
Sunbelt;6688;2010.08.05;Trojan.Win32.Generic!BT
SUPERAntiSpyware;4.40.0.1006;2010.08.05;-
Symantec;20101.1.1.7;2010.08.05;-
TheHacker;6.5.2.1.332;2010.08.05;-
TrendMicro;9.120.0.1004;2010.08.05;-
TrendMicro-HouseCall;9.120.0.1004;2010.08.05;-
VBA32;3.12.12.8;2010.08.04;-
ViRobot;2010.8.4.3971;2010.08.05;-
VirusBuster;5.0.27.0;2010.08.05;-

weitere Informationen
File size: 59392 bytes
MD5...: 409018c17f571dc547a9aa36ed6d7002
SHA1..: 2ca8e7e9434872c181e099a6db66635509e3ee96
SHA256: d106fea3c16b93e68996e32d7dfb14332eff9da211af1840f9cddf5e00da8d0c
ssdeep: 1536:mUJ6qp2C7R1vCcUJi066T1ARPzMCG5Sey+rFLoNI:17jKFAbMdae5oK<BR>
PEiD..: -
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x2bb60<BR>timedatestamp.....: 0x45161d74 (Sun Sep 24 05:53:56 2006)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>UPX0 0x1000 0x1d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>UPX1 0x1e000 0xe000 0xde00 7.95 cfdc7eefa18b830ca6b4d63c7f5db861<BR>.rsrc 0x2c000 0x1000 0x600 4.25 7fa879342a7de624e55c6dbb57205ea0<BR><BR>( 2 imports ) <BR>&gt; KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess<BR>&gt; USER32.DLL: GetMenu<BR><BR>( 0 exports ) <BR>
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
Symantec Reputation Network: Suspicious.Insight hxxp://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99
packers (F-Prot): UPX
sigcheck:<BR>publisher....: SOFTWIN S.R.L.<BR>copyright....: 4170-9033<BR>product......: _______<BR>description..: BitDefender Management Console<BR>original name: gmj.exe<BR>internal name: ____<BR>file version.: 83.126.104.90<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

Alt 05.08.2010, 17:13   #8
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
http://www.trojaner-board.de/89053-avg-9-finden-sheuer-aqum-dropper-und-sheur-aqra.html#post550415

KillAll::
Collect::
c:\windows\ExplorerSrv.exe
c:\windows\system32\rundll32Srv.exe

Rootkit::
c:\programme\Microsoft\DesktopLayer.exe

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"
         
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.

  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.08.2010, 17:28   #9
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Soll ich die http Adresse die in der Codebox steht, mit in die Text Datei schreiben?

Geändert von ich56 (05.08.2010 um 17:35 Uhr)

Alt 05.08.2010, 17:55   #10
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Zitat:
Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Ist daran irgendwas unverständlich ?
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.08.2010, 18:07   #11
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Habe die Text Datei nach Anweisung erstellt. Habe die Combofix.exe heruntergeladen und die erstellte Txt Datei in die Combofix exe hinein gezogen. Combofix startet, bricht dann aber mit der Meldung ab das es kompromittiert ist und löscht sich dann selbstständig

Alt 05.08.2010, 18:10   #12
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Okay, was spricht gegen ein neu aufsetzen ?

Du hast einen FileInfector am System. Dieser infiziert anscheinend alle .exe Dateien.
Ich kann versuchen, dies wieder gerade zu biegen, jedoch wenn ich nur eine .exe übersehe, geht der Spass von vorne los. Ein sehr lange Prozedur mit ungewissen Ausgang. Deine Entscheidung
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 05.08.2010, 18:35   #13
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Ich würde eine komplette Neuinstallation nur als allerletzten Ausweg machen wollen.
Ich bin dafür den Weg ohne Neuinstallation zu gehen.

Alt 05.08.2010, 19:02   #14
Larusso
/// Selecta Jahrusso
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Okay, deine Entscheidung.
Starte kein Programm. Keine .exe nichts, ausser meine Programme,bis ich sage ok

Schritt 1

Speichere folgendes als Kill.txt unter C:\WIndows (Das ist wichtig )
Code:
ATTFilter
set allowallpaths = true
cd "%systemdrive%"
set var="%userprofile%\desktop\infected"
md "%userprofile%\desktop\infected"
copy "c:\programme\Microsoft\DesktopLayer.exe" "%var%\desktoplayer.exe.vir"
copy "c:\windows\system32\rundll32Srv.exe" "%var%\rundll32Srv.exe.vir"
copy "c:\windows\ExplorerSrv.exe" "%var%\ExplorerSrv.exe.vir"
del c:\programme\Microsoft\DesktopLayer.exe
del c:\windows\system32\rundll32Srv.exe
del c:\windows\ExplorerSrv.exe
exit
         

Schritt 2

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut als COmbo.com auf dem Desktop (nicht woanders hin, das ist wichtig)!


Schritt 3

Drucke Dir folgendes wenn möglich aus. Du wirst jetzt keinen Zugriff auf das Internet haben.

Windows mit Wiederherstellungskonsole starten

Starte den Rechner neu auf. Du wirst nun im Bootmenü
Wiederherstellungskonsole
lesen. Diese auswählen

Danach findest Du ein schwarzes Fenster vor wo
C:\windows:> steht.

Hier gibst du batch kill.txt ein und drückst enter. Solltest Du gefragt werden ob Du das wirklich löschen willst, bestätige mit Ja

Wenn das Skript erledigt ist, wird der Rechner neu starten. Drücke hier mehrmals die F8 Taste um in den abgesicherten Modus zu kommen.

Starte nun die Combo.com. Lass es in Ruhe laufen.

Poste mir diese Logfile
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 06.08.2010, 11:16   #15
ich56
 
AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Standard

AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA



Hallo, habe die kill.txt in C:\Windows erstellt.
Habe sie laut Anweisung in der Wiederherstellungskonsole ausgeführt.

Allerdings bekomme ich folgende Meldungen:

Zuerst:
Die angegebene Datei oder das Verzeichnis wurde nicht gefunden.
dann:
Der angegebene Parameter ist ungültig. geben sie /? für weitere Hilfe ein.
Dann kam noch
Keine passende datei gefunden.

Habe Combo.com daraufhin nicht ausgeführt.

Antwort

Themen zu AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA
antitrojan, antiviren, avg, avg free, bluescree, deaktiviert, dropper, free, hijack, hijack this, hijackthis, infiziert, lautstärke, log, malwarebytes, nichts, online, problem, programm, rsit, scan, scanner, sicherheitscenter, software, spybot, this, tracking, trojaner



Ähnliche Themen: AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA


  1. urlzone2 finden
    Plagegeister aller Art und deren Bekämpfung - 03.09.2014 (6)
  2. (mehrere) Trojanermeldung(en) AVG (Win8.1) : "Trojaner: Dropper.Generic2.ANGG.dropper"
    Log-Analyse und Auswertung - 11.07.2014 (3)
  3. keylogger ...finden
    Plagegeister aller Art und deren Bekämpfung - 08.12.2011 (1)
  4. AVG 9 finden SHeuer3.AQUM Dropper und Sheur.AQRA
    Plagegeister aller Art und deren Bekämpfung - 07.08.2010 (4)
  5. 8.tmp was ist das? Logger in Fa. finden!
    Log-Analyse und Auswertung - 04.07.2010 (4)
  6. Trojaner TR/ Dropper.Gen u. Trojaner TR/ Dropper.Gen2 entfernt, dennoch überlastung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2010 (9)
  7. Trojaner Sheur 2.AMSD /Genetic 13.BBYW /Pakes.DRR
    Plagegeister aller Art und deren Bekämpfung - 16.07.2009 (3)
  8. Virtumonde zu finden?
    Log-Analyse und Auswertung - 19.03.2009 (0)
  9. Trojaner: SHeuer.CCSI
    Plagegeister aller Art und deren Bekämpfung - 20.02.2009 (0)
  10. Trojaner SHeur.CRDK + .CLBO + Agent
    Plagegeister aller Art und deren Bekämpfung - 08.11.2008 (11)
  11. Virus, ja! Nur finden
    Plagegeister aller Art und deren Bekämpfung - 10.04.2008 (23)
  12. Viren finden
    Mülltonne - 21.03.2008 (0)
  13. SHeur.ADZB in NTDetect.com
    Plagegeister aller Art und deren Bekämpfung - 08.03.2008 (2)
  14. Trojan horse SHeur.ALSO
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (6)
  15. Trojaner SHeur.WUN
    Plagegeister aller Art und deren Bekämpfung - 16.11.2007 (0)
  16. Ist hier was zu finden ???
    Log-Analyse und Auswertung - 08.03.2006 (5)
  17. Ungebetene Gäste finden
    Plagegeister aller Art und deren Bekämpfung - 11.10.2004 (1)

Zum Thema AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA - Hallo, Ich habe ein Problem mit meinem Rechner. Als AntiViren Software verwende ich AVG Free 9. Dieses Programm hat mir nun gesagt das fast mein ganzer Rechner mit dem SHeur - AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA...
Archiv
Du betrachtest: AVG 9 finden SHeuer.AQUM Dropper und Sheur.AQRA auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.