Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.11.2004, 13:12   #1
swenundnadine
 
TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall - Icon17

TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall



Hallo zusammen!
Wir haben mal wieder oder immer noch ein Problem mit Proxy.Ranky.AX und Worm/SdBot.44112. Wir haben beide schon mehrmals gehabt und igrnedwie löschen können, nur diesmal sind sie besonders hartnäckig und haben sich in einer Datei festgesetzt, die wir nicht finden können. Haben auch schon den Ratschlag gehört, zu formatieren, aber das wäre ja keine Dauerlösung, denn das heißt ja nicht, dass wir wieder Besuch bekommen würden von den beiden .
Haben mal das Protokoll von Antivir und Hijack zugefügt. Vielleicht kann uns ja damit jemand weiterhelfen. Denn trotzdem wir inzwischen ganz gut verstehen, was da alles steht, sind wir jetzt völlig ratlos

Hier das Antivirprotokoll:
Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\SUN
winampo.exe
WARNUNG! Ungültige Startadresse!
C:\RECYCLER\S-1-5-21-220523388-1060284298-51556883-1000
Dc214.exe
ArchiveType: RAR SFX (self extracting)
--> vhdfs.exe
[FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.AX
--> gfsfgt.exe
[FUND!] Enthält Signatur des Wurmes Worm/SdBot.44112
Dc215.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Fehler beim Wechsel in das Verzeichnis System Volume Information

Und hier die Infos von Hijack:
Logfile of HijackThis v1.98.2
Scan saved at 13:13:36, on 17.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\AVPersonal\AVGUARD.EXE
E:\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
E:\Scanner\OmniPageSE\opware32.exe
E:\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINNT\htpatch.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\NeroASM.exe
C:\WINNT\system32\winampo.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\dllsafe.exe
C:\WINNT\system32\tskmsgr.exe
C:\WINNT\system32\msbuffer.exe
C:\WINNT\system32\jupos.exe
C:\WINNT\system32\explorer.exe
C:\WINNT\system32\windrive32.exe
E:\AVPersonal\AVGNT.EXE
C:\WINNT\system32\nmod.exe
C:\WINNT\system32\ultraedit.exe
C:\WINNT\system32\sysidle.exe
E:\Trojancheck 6\tcguard.exe
C:\WINNT\system32\netservice.exe
C:\WINNT\system32\winampo.exe
C:\WINNT\system32\integator.exe
C:\WINNT\system32\dllsafe.exe
C:\WINNT\system32\msbuffer.exe
C:\WINNT\system32\jupos.exe
C:\WINNT\system32\explorer.exe
C:\WINNT\system32\windrive32.exe
C:\WINNT\system32\tskmsgr.exe
C:\WINNT\system32\nmod.exe
C:\WINNT\system32\ultraedit.exe
E:\Microsoft Office\Office\OSA.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\MOUSEW~1\system\WebColct.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\DOKUME~1\SUN\LOKALE~1\Temp\Rar$EX00.702\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.oleco.de/einwahl.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Omnipage] E:\Scanner\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [EM_EXEC] E:\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [Microsoft Synchronization Manager] netservice.exe
O4 - HKLM\..\Run: [Windows NT Login] ntlogin32.exe
O4 - HKLM\..\Run: [NeroAutoStartClient] NeroASM.exe
O4 - HKLM\..\Run: [netservices] svchostn.exe
O4 - HKLM\..\Run: [Fix Winamp] winampo.exe
O4 - HKLM\..\Run: [Configuration Loader] msgfix.exe
O4 - HKLM\..\Run: [Windows Fix] integator.exe
O4 - HKLM\..\Run: [Sysmon] dllsafe.exe
O4 - HKLM\..\Run: [klgkfq] mgmjva.exe
O4 - HKLM\..\Run: [Microsoft Video Controls] tskmsgr.exe
O4 - HKLM\..\Run: [Microsoft Buffer App] msbuffer.exe
O4 - HKLM\..\Run: [JuPo] jupos.exe
O4 - HKLM\..\Run: [Sys-Stat] explorer.exe
O4 - HKLM\..\Run: [ActiveX Streamer] msgfix.exe
O4 - HKLM\..\Run: [Micrsoft Driver] windrive32.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [System Document Application] nmod.exe
O4 - HKLM\..\Run: [Ultra Edit v5.1] ultraedit.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Trojancheck 6\tcguard.exe
O4 - HKLM\..\RunServices: [Microsoft Synchronization Manager] netservice.exe
O4 - HKLM\..\RunServices: [Windows NT Login] ntlogin32.exe
O4 - HKLM\..\RunServices: [NeroAutoStartClient] NeroASM.exe
O4 - HKLM\..\RunServices: [netservices] svchostn.exe
O4 - HKLM\..\RunServices: [Fix Winamp] winampo.exe
O4 - HKLM\..\RunServices: [Windows Fix] integator.exe
O4 - HKLM\..\RunServices: [Sysmon] dllsafe.exe
O4 - HKLM\..\RunServices: [klgkfq] mgmjva.exe
O4 - HKLM\..\RunServices: [Microsoft Video Controls] tskmsgr.exe
O4 - HKLM\..\RunServices: [Microsoft Buffer App] msbuffer.exe
O4 - HKLM\..\RunServices: [JuPo] jupos.exe
O4 - HKLM\..\RunServices: [Configuration Loader] msgfix.exe
O4 - HKLM\..\RunServices: [Sys-Stat] explorer.exe
O4 - HKLM\..\RunServices: [ActiveX Streamer] msgfix.exe
O4 - HKLM\..\RunServices: [Micrsoft Driver] windrive32.exe
O4 - HKLM\..\RunServices: [System Document Application] nmod.exe
O4 - HKLM\..\RunServices: [Ultra Edit v5.1] ultraedit.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [Microsoft Synchronization Manager] netservice.exe
O4 - HKCU\..\Run: [Fix Winamp] winampo.exe
O4 - HKCU\..\Run: [Configuration Loader] msgfix.exe
O4 - HKCU\..\Run: [Windows Fix] integator.exe
O4 - HKCU\..\Run: [Sysmon] dllsafe.exe
O4 - HKCU\..\Run: [Microsoft Buffer App] msbuffer.exe
O4 - HKCU\..\Run: [JuPo] jupos.exe
O4 - HKCU\..\Run: [Sys-Stat] explorer.exe
O4 - HKCU\..\Run: [ActiveX Streamer] msgfix.exe
O4 - HKCU\..\Run: [Micrsoft Driver] windrive32.exe
O4 - HKCU\..\Run: [Microsoft Video Controls] tskmsgr.exe
O4 - HKCU\..\Run: [System Document Application] nmod.exe
O4 - HKCU\..\Run: [Ultra Edit v5.1] ultraedit.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Office-Start.lnk = E:\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\YAHOO!~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\YAHOO!~1\YPager.exe
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28FF1681-13FF-4E0E-BC52-A5293E40C0CD}: NameServer = 145.253.2.81 145.253.2.171
O17 - HKLM\System\CS1\Services\Tcpip\..\{28FF1681-13FF-4E0E-BC52-A5293E40C0CD}: NameServer = 145.253.2.81 145.253.2.171


Vielen Dank schonmal im Vorraus, für alle die uns in irgendeiner Form weiterhelfen können.

Alt 17.11.2004, 13:30   #2
Haui45
 
TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall - Standard

TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall



Du hast da ja eine ganz schöne Backdoorsammlung auf deinem System. Wenn man richtig formatiert (was du unbedingt machen solltest), dann wird man so schnell keinen Besuch mehr von den beiden oder von anderer Malware bekommen.
Informationen:
Datensicherung
compromise

PS.: Wie immer gilt auch hier: evtl vorhandene Dialer zwecks späterer Beweissicherung auf Diskette speichern.
__________________


Antwort

Themen zu TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall
adobe, antivir, application, bho, dateien, dll, document, einstellungen, explorer, fehler, festplatte, gesperrt, hijack, hijackthis, internet, internet explorer, laufwerk c, löschen, microsoft, nvcpl.dll, problem, programme, rundll, software, system, tcpip, temp, warnung, yahoo, zugriff verweigert



Ähnliche Themen: TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall


  1. 'TR/Proxy.Ranky.JU' [trojan] Gefunden! Help!
    Plagegeister aller Art und deren Bekämpfung - 18.06.2008 (13)
  2. TR\Proxy.Ranky\JU
    Mülltonne - 10.06.2008 (0)
  3. Was ist das? Hilfe: TR/Proxy.Ranky.JU
    Mülltonne - 09.06.2008 (1)
  4. TR/Proxy.Ranky.JB
    Plagegeister aller Art und deren Bekämpfung - 26.05.2008 (10)
  5. Trojan-Proxy.Ranky
    Plagegeister aller Art und deren Bekämpfung - 10.03.2008 (1)
  6. WORM/SdBot.2327888
    Plagegeister aller Art und deren Bekämpfung - 20.11.2007 (2)
  7. W32/sdbot.worm.gen.x
    Plagegeister aller Art und deren Bekämpfung - 30.12.2006 (2)
  8. Worm /SdBot.8655
    Plagegeister aller Art und deren Bekämpfung - 08.10.2006 (16)
  9. Proxy.Ranky.Gen & Trojan.Downloader.Obfuscated.N
    Plagegeister aller Art und deren Bekämpfung - 17.07.2006 (1)
  10. Ranky.DT / Sdbot.34992 / RBot.** + HJT-Log
    Log-Analyse und Auswertung - 26.04.2006 (2)
  11. Tr.Proxy.Ranky.16792
    Log-Analyse und Auswertung - 14.10.2005 (6)
  12. Wer kann mir helfen? Hab nen trojaner drauf TR/Proxy.Ranky.16792
    Log-Analyse und Auswertung - 04.10.2005 (3)
  13. worm sdbot
    Log-Analyse und Auswertung - 30.08.2005 (2)
  14. Worm Rbot 67393 / Worm Sdbot 42496
    Plagegeister aller Art und deren Bekämpfung - 08.08.2005 (5)
  15. W32/Sdbot.worm.bat.b
    Plagegeister aller Art und deren Bekämpfung - 22.04.2005 (8)
  16. Backdoor.Ranky / W32.Randex.gen / W32.Ronoper.Worm
    Plagegeister aller Art und deren Bekämpfung - 12.02.2005 (2)
  17. Logfile of Hijackthis (Worm/SdBot.44128 und TR/Proxy.Ranky.AX Fund)
    Log-Analyse und Auswertung - 29.12.2004 (1)

Zum Thema TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall - Hallo zusammen! Wir haben mal wieder oder immer noch ein Problem mit Proxy.Ranky.AX und Worm/SdBot.44112. Wir haben beide schon mehrmals gehabt und igrnedwie löschen können, nur diesmal sind sie besonders - TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall...
Archiv
Du betrachtest: TR/Proxy.Ranky.AX und Worm/SdBot.44112 Befall auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.